10/05/2024

Mes: enero 2018

BANCA DIGITAL : ¿APPs RIESGOSAS?

Guido Rosales 14/01/2018

Sin duda no es lo mismo instalar una app de juegos al móvil o una aplicación de banca digital. Uno espera que la responsabilidad sobre los servicios financieros se extienda al dispositivo móvil donde se instala la aplicación y por consiguiente al consumidor financiero. Pero vemos que necesitamos trabajar un poco más al respecto.

Hace un mes llevamos a cabo una revisión de APPs de entidades financieras que están publicadas en el Play Store. Si son públicas, entonces pueden ser revisadas. OJO, Espero que los Gerentes GGGX consideren que antes de ser Gerentes son también usuarios y clientes de otras entidades financieras y la regulación beneficia a todos.

En estos días vimos algunas actualizaciones publicadas en el Play store. Entonces quisimos ver como estaba cambiando la seguridad de las aplicaciones.

Para este articulo hemos tomado uno de los Bancos mas representativos, pero solo como ejemplo.

ANÁLISIS DE PERMISOS DE APP SOBRE EL MÓVI

 

En cuanto a permisos de la APP tenemos los siguientes:

PERMISOS DICIEMBRE 2017

  •     android:name="android.permission.INTERNET" />
    android:name="android.permission.ACCESS_NETWORK_STATE" />
    android:name="android.permission.ACCESS_FINE_LOCATION" />
    android:name="android.permission.ACCESS_COARSE_LOCATION" />
    android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    android:name="android.permission.READ_EXTERNAL_STORAGE" />
    android:name="android.permission.VIBRATE" />
    android:name="android.permission.CAMERA" />
    android:name="android.permission.USE_FINGERPRINT" />
    android:name="android.hardware.camera" />
    android:name="android.hardware.camera.autofocus" />
    android:name="android.hardware.location.gps" />
    android:name="android.permission.WAKE_LOCK" />

PERMISOS ENERO 2018

  • android:name="android.permission.INTERNET" />
  • android:name="android.permission.ACCESS_NETWORK_STATE" />
  • android:name="android.permission.ACCESS_FINE_LOCATION" />
  • android:name="android.permission.ACCESS_COARSE_LOCATION" />
  • android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
  • android:name="android.permission.READ_EXTERNAL_STORAGE" />
  • android:name="android.permission.VIBRATE" />
  • android:name="android.permission.CAMERA" />
  • android:name="android.permission.USE_FINGERPRINT" />
  • android:name="android.permission.CALL_PHONE" />
  • android:name="android.hardware.camera" />
  • android:name="android.hardware.camera.autofocus" />
  • android:name="android.hardware.location.gps" />
  • android:name="android.permission.WAKE_LOCK" />

Entonces vemos que SE ADICIONO EL PERMISO PARA HACER LLAMADAS

android:name="android.permission.CALL_PHONE" />

Varios de estos permisos están definidos como RIESGOSOS en la misma documentación para programadores ANDROID.

Se ha revisado los permisos que solicitan y surgen varias interrogantes:

  1. ¿Por qué la aplicación de banca digital requiere permisos sobre la cámara del dispositivo móvil? ¿Ahora puede sacar fotos y filmar sin mi permiso? ¿Para qué?
  2. ¿Por qué debe tener acceso sobre el contenido de la memoria externa? Ahí tengo datos personales.
  3. ¿Por qué quiere tener permisos sobre el teléfono y poder hacer llamadas? Ojo que este permiso no estaba en la versión de diciembre y fue adicionado en enero.
  4. ¡Pide demasiada información sobre la red!!
  5. ¿Por qué deben tener permisos sobre mi ubicación? ¿No es privada?
  6. ¡Otros!!! Sin duda gran parte de los permisos identificados dejan mucho que pensar.

Evidentemente algunos deben ser activados adicionalmente, pero la mayoría de los usuarios no tendrá el cuidado de estar auditando su aplicación móvil. Tiene confianza plena. Ojo que La administración manual de permisos llegó oficialmente con Android Marshmallow: puedes elegir a qué acceden tus aplicaciones, incluso tras instalarlas.

ANÁLISIS DE POTENCIALES VULNERABILIDADES

La revisión dio los siguientes resultados en cuanto a potenciales vulnerabilidades:

Presentamos los resultados detectado en diciembre y ahora los evaluados al 14 de enero del 2018. Vemos que la actualización liberada no ha tomado en cuenta aspectos de seguridad. Se mantienen los mismos

Recordemos los resultados anteriormente publicados:

 

 

NECESIDAD

  • Como ciber consumidor solicito que ASFI recuerde a las EEFF la necesidad de aplicar el concepto de “Mínimos privilegios”, definido en el Reglamento de Seguridad de la Información. Las aplicaciones móviles deben ser publicadas de esa forma. Lo menos intrusivas y riesgosas para el usuario financiero.
  • Las EEFF cuando publican APPs en cada versión, deberían enviar una Declaración jurada a ASFI, indicando que permisos esta solicitando al instalarse su APP. Asumiendo todos los riesgos que implican permisos excesivos. ASFI y las auditorias técnicas debe validar en sus visitas el cumplimiento de esta declaración.
  • Las EEFF deberían declarar los cambios que realizan en cada versión de app. Dando libertad al consumidor de instalar o no si considera riesgosa la actualización.
  • Finalmente como ciudadano y en el marco de la soberanía digital, la oficina de defensa al consumidor y ahora al ciberconsumidor debe tomar como su tarea proteger los datos del ciudadano boliviano y alertar sobre los riesgos.

 

CONCLUSIÓN

Los siguientes días enviare una carta a la EEFF para solicitar información sobre esta app. Espero respondan de forma clara y no con evasivas como antes. La seguridad puede mejorar, pero hay que ocuparse de ella.

El entusiasmo por entrar al mundo móvil debe estar acompañado de una adecuada gestión de riesgos y estrategias de seguridad.

Las especialidades en Ciber Seguridad quedaran Obsoletas?

Guido Rosales 07/01/2018

Con certeza ya están quedando así. Y no estamos hablando de los gurus en hacking, sino de todas las capas de entusiastas que aprenden hacking con la ilusión de llegar a grandes ligas y convertirse en Hackers Seniors y hacer de esto su forma de vida.

Me simpatiza esas estadísticas internacionales que dicen sobre la gran demanda de profesionales en seguridad y ciber soldados inclusive, cuando vemos ya en el mundo físico que todo esto esta siendo reemplazado por herramientas, equipamiento e inclusive ARMAMENTO DIGITAL.

Me encanta cuando los jóvenes defienden el software libre en su juventud y acaban sobre los 30,  viviendo en el mundo windows. Es muy similar a mis épocas donde teníamos compañeros pro comunismo en las aulas universitarias y ahora dejaron esas jóvenes pasiones por la comodidad del mundo capitalista.

La inteligencia artificial implementada en herramientas de seguridad tanto para el ataque como para la defensa esta eliminando como en muchos campos la necesidad de contar con administradores de seguridad.

Cito 1 ejemplo vividos los 2 últimos años. Tengo varios.

El desarrollo permanente de un sistema de monitoreo de seguridad WEB.

  • Implica desarrolladores permanentes. costo laboral, subjetividad y humor.
  • Implica personal de monitoreo trabajando en horarios especiales. costo laboral duplicado y subjetividad del monitoreo.
  • Todo eso reemplazado por herramientas automatizadas SaaS en la nube. El cliente ni cuenta se da mientras el servicio en lugar de desmejorar ha aumentado su eficiencia, oportunidad, alcance, etc, etc.
  • Costo social. Mínimo 4 a 6 funcionarios.
  • Costo reducido en un 75%
  • Conclusión: OBVIA. Lastimosamente en el mediano y largo plazo tendra un efecto muy negativo para el pais. Pero, cuenta el HOY.

Tampoco hablamos de empresas que como grandes equipos de futbol mantienen el prestigio con no mas de una estrella en su plantel. Es decir por cada 22 jugadores potenciales tienen solo un messi. El resto ni existe en la memoria.!!

El mercado esta mostrando, por lo menos el caso boliviano que el 80% de jóvenes profesionales que comenzaron con proyecto de hackers, ahora solo un 10% están trabajando en Gestión de la Seguridad. Haciendo políticas, análisis de riesgos, planes de continuidad o respondiendo a las entidades de regulación. Pero tareas de hacking o testing de vulnerabilidades? cada vez menos!

El mercado laboral

Llevo formando y lanzando al mercado empresarial unas 5 generaciones de estos profesionales. Su curva de aprendizaje es bastante acelerada, al principio hay mucho entusiasmo. Se puede decir que el primer año queman toda esa curiosidad que en los siguientes dos años se va apagando. al final el 80% termina doblegado por la estabilidad laboral, la presión familiar, cupido y similares.

Las herramientas automatizan el servicio

Por otro lado el mercado de las herramientas automatizada de análisis de vulnerabilidades que los mismos hackers han ayudado a potenciar, les esta quitando el trabajo. Ya no se necesita lidiar con el humor de los hackers que a veces es muy especial e incrementa el Riesgo inherente de la revisión. Las herramientas evalúan una gran cantidad de potenciales vulnerabilidades que no podría llegar el hackers de forma manual.

Evidentemente son complementarias, pero eso hará que no crezca en buena proporción la necesidad de mas hackers junior, sino mantener hackers senior con buenas herramientas. Lo que va a crecer son las facilidades automatizadas para brindar seguridad. Hoy en día por ejemplo solo una cantidad mínima de hackers esta en la capacidad de vulnerar controles de firewalls, IDS, IPS. Si estos han sido bien configurados no tienen forma de hacerlo. Se debe recurrir al hacker senior, pero si esto ya es casi un hecho. Para que ir con el junior?

Ademas esta el tema subjetivo. Cuando los hackers son muy jóvenes se debe lidiar con su caracter, arrogancia, y estado de animo que afecta los resultados de los trabajos. Son tolerables mientras aporten algún PEPAZO o vulnerabilidad detectada. Pero en muchos casos el mismo cliente solo quiere una evaluación razonable. Detectar algo critico le complicaría, entonces es mejor algo para cumplir la regulación.

La capacitación no es mas que un supermercado

Lamentablemente el mercado laboral ha explotado, las ofertas de cursos a todo nivel se han multiplicado. Muchos reenganchados de otras especialidades de la informática hoy son "especialistas" en seguridad. Convertidos que al principio han batallado, ahora son pseudo comprometidos con su única pasión por los ingresos que esta significando.

CONCLUSIÓN

Jóvenes, el mundo de los bits es apasionante, pero el mundo de los dolares da de comer.

 

 

El Rol de QUIPUS en el contexto de la SOBERANÍA DIGITAL de Bolivia.

Guido Rosales 07/01/2018

Este articulo fue redactado el mes de mayo 2017 y enviado a varios funcionarios de alta jerarquía en QUIPUS. De diferentes áreas con la finalidad de que se pueda recibir un aporte de ideas para darle a esta Empresa del ESTADO una visión mas allá de una ensambladora de equipos.

Lastimosamente mas allá de un gracias, no se recibió ninguna retro alimentación. Al final decimos "NO HAY PEOR SORDO QUE AQUEL QUE NO QUIERE OIR, ETC, ETC"

 

INTRODUCCIÓN

 

La concepción de la Empresa Quipus es vital para lograr la Soberanía Tecnológica y digital del Estado Plurinacional de Bolivia. Debe ser encausado como un proyecto de relevancia nacional a 5 años como mínimo hasta lograr no solo en ensamblaje de equipos, sino en una segunda fase montar una fábrica de partes e inclusive componentes electrónicos. Además, Quipus debe convertirse en la empresa con responsabilidad social hacia la protección del medio ambiente en Bolivia. Ser la que certifique el correcto tratamiento de la basura electrónica.

El último ataque informático a nivel global del ransomware WannaCry ha demostrado que todos los Estados deben implementar su plan B no sujeto a esa exposición global. En ese escenario Quipus debe convertirse en el proveedor de tecnología totalmente protegida contra ataques globalizados. Quipus debe pasar de ser vista como una empresa ensambladora de equipos a ser la responsable de la INFRAESTRUCTURA CRITICA Y SOBERANA DE TECNOLOGÍA DE LA INFORMACIÓN.

 

LINEAS PRODUCTIVAS

Desarrollo de dos líneas principales de negocio

 

PROVISIÓN DEL HARDWARE

  • Corto plazo (2017 2018): Computadores y Móviles
  • Mediano Plazo (2018-2020):
    • Servidores y Telecomunicaciones
    • Antenas RFID
    • Sistemas CCTV
    • Unidad de Provisión de Plataforma Base, sistemas operativos, utilitarios y ofimática
    • Unidad de reacondicionamiento y tratamiento de la Basura electrónica
    • Unidad de análisis, recuperación y eliminación de datos en medios de almacenamiento. Data recovery.
  • Largo Plazo (2020-2023)
    • Infraestructura de CPD – Centro de Procesamiento de datos e infraestructura para implementar la Nube Nacional.
    • Infraestructura de Comunicaciones
    • Infraestructura de seguridad
    • Fábrica de Software libre con soporte nacional

 

PROVISIÓN DE LA PLATAFORMA DE SO OPEN SOURCE

  • Corto plazo: Instalar distribuciones de Linux probadas en laboratorio de Quipus
  • Mediano Plazo:
    • Apoyar la salida de plataforma propia con refuerzo en cuanto a contenidos propios
    • Coordinar con instancias tipo AGETIC
  • Largo Plazo: Instalar una fábrica de Software tipo JalaSoft de Cochabamba
    • Quipus puede desarrollar una unidad de negocio para instalar sistemas operativos Linux con plataforma Open Office y otras herramientas en conjunto con el AGETIC

 

LÍNEAS ESTRATÉGICAS PARA EL ÁREA DE HARDWARE

 

  1. Quipus debe establecer convenios país con el gobierno de China y Rusia para lograr la capacitación de sus recursos humanos en temas técnicos y de seguridad. El personal capacitado debe tener un contrato de financiamiento mínimo por 2 años. Este grupo humano le daría estabilidad para el resto de los puntos a ser implementados.
  2. Las empresas nacionales deben destinar por lo menos el 10% de su inversión de compra de equipos computacionales a portables quipus. Esto debe ser sujeto a un reporte anual de inventarios. Donde se pueda validar tal cumplimiento. Por cada 10 % superior se sortea x cantidad de portables entre los funcionarios de esa empresa y se hace entrega en acto oficial. El control puede ser desde el Ministerio de Economía donde se aprueban los pagos.
  3. En el mediano plazo las Entidades del sector publico deben implementar una parte de su CPD sobre servidores y plataformas Quipus como esquema de contingencia ante ataques globales a la seguridad. Mínimamente los equipos de Respaldos históricos.
  4. A las pymes se les debe conceder crédito directo de cualquier EEFF para que puedan comprar hasta 25% de portables cada dos años. Lo mismo se les hace docena de 13 y se sortea entre sus funcionarios con entrega oficial del gobierno.
  5. Se debe crear centros autorizados de mantenimiento con programas de certificación para técnicos que podrán comprar repuestos con precios rentables y facilidades. Entre los técnicos se sorteara celulares y a quien haya reportado mayor cantidad de trabajos mediante la web de soporte técnico se le invitara a un viaje a cursos de capacitación con el fabricante.
  6. Cuando un nuevo ingeniero logre su colegiatura se le ofrecerá una portable al 50% del valor del mercado. Esto en convenio con la SIB. Esto puede ser extensivo a otros colegios de profesionales.
  7. Para hacer sostenible se debe conceder la renovación de equipo cada dos años con la mitad de precio. Trae su equipo a un centro Quipus y solicita la renovación. En menos de 5 días hábiles se le cambia el equipo. Lo que se debe devolver al cliente es su disco duro para evitar desconfianza. Los equipos recibidos son sometidos a tratamiento para extraer sus partes útiles o en todo caso enviar a la unidad de tratamiento de desechos sólidos y basura electrónica.
  8. Quipus fabricara o ensamblara contenedores reforzados para equipos de uso rural sujetos a condiciones extremas. Estos equipos corresponden al ejército, empresas de construcción, policía, etc.
  9. Las empresas grandes deben igualmente comprar estos equipos con beneficios en impuestos de importación de otros equipos o para beneficiarse en el IUE (impuesto a las utilidades) anual. Esto puede ser una concesión que dure 5 años.
  10. Los colegios particulares de igual manera pueden lograr equipamiento de laboratorios a crédito de 12 meses. Entre 12 y 36 equipos cada dos años.
  11. Los celulares de Quipus deben tener cada mes promociones de Entel donde se les otorga megas de descarga registrando su serial para recibir de forma gratuita o subvencionada x cantidad de megas.
  12. Cuando se compre una dupla tecnológica portable y celular de regalo debería recibir megas de navegación libre.
  13. Con el registro de compra de portable debería poder recibir un token y su correspondiente certificado digital por parte de ADSIB
  14. Cada portable vendrá con un mantenimiento anual de regalo que deberá hacerse en los puntos de soporte técnico autorizado. Este soporte deberá ser registrado en la web Quipu para que le reporte beneficios al centro técnico y al mismo técnico.
  15. En los centros tipo eloy salmon, chiriguano, miamicito, etc. Todos los puestos que vendan portables o celulares deberán colocar en lugar visible la publicidad de quipus de manera obligatoria. Se debe posicionar la marca.
  16. Todos los importadores de tecnología y además de puestos de venta deben certificar a sus técnicos en 4 ámbitos básicos
    1. Instalación segura de equipos
    2. Tratamiento de la basura electrónica
    3. Atención al cliente
    4. Seguridad
  17. Todos los técnicos de Soporte en las entidades públicas deben ser certificados por Quipus mínimamente en:
    1. Instalación segura de equipos
    2. Tratamiento de la basura electrónica
    3. Atención al cliente
    4. Seguridad
  18. Quipus deberá crear su instituto Tecnico o consolidar convenios de carácter obligatorio con todas las universidades que tengan carreras de sistemas para que sus alumnos pasen el curso de Tecnico en soporte Tecnico que será materia obligatoria hasta el segundo año. Los exámenes serán a nivel nacional con regalo de portable a los 5 primeros. Celulares a los 5 siguientes. El programa podrá ser presencial dictado por técnicos certificados por quipus.
  19. Todos los ingenieros de sistemas y licenciados en informática deberán realizar la Certificación de tratamiento de la basura electrónica y preservación del medio ambiente. Esta certificación deberá ser dirigida y coordinada por Quipus.
  20. Toda Entidad deberá sacar un certificado de Protección del medio ambiente contra la basura electrónica donde se certifica que tiene políticas, normas y procedimientos para la protección del medio ambiente contra la basura electrónica. Sus políticas deben estar desarrolladas y aprobadas por profesionales que tengan la certificación individual.
  21. Así como existe un FLISOL dedicado al software libre se podrá crear un día dedicado a alguna temática. La conexión será registrando serial de equipo datos del dueño y recibirán un código de acceso a la web en su celular. Si es quipu recibirán algo mas como megas. En este evento se tratarán temas de informática durante todo el día. Conferencias de 1 hora cada una. Los facilitadores recibirán megas en su plan ENTEL.
  22. Quipus deberá hacer convenios con Microsoft para que los usuarios puedan adicionar licencias SO y office a un precio muy económico con registro en la web de quipus.
  23. Quipus deberá hacer convenios con mínimo 3 empresas de antivirus para compras por lotes. Por ejemplo, lotes de 1000 licencias que irán consumiendo según la preferencia del usuario quipus. Los precios deben ser mejores que el mercado.
  24. Los clientes deben registrar sus equipos para mitigar el robo y facilitar la renovación.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023