20/05/2024

Nacionales

DESBALANCE

EL MARCADO DESBALANCE DE LA REGULACIÓN EN CIBERSEGURIDAD

Guido Rosales 20/07/2022

INTRODUCCION

Sin mucho análisis podemos decir sobre la existencia de una marcada brecha entre el sector financiero y el resto en materia tanto de regulación sectorial como nivel de cumplimiento en ciberseguridad.

EL SECTOR FINANCIERO

En este sector los antecedentes de regulación en materia de seguridad informática y ciberseguridad datan desde el año 2003 con la circular SBEF 443 (la mas emblemática) y reforzada en el año 2013 con la circular ASFI 193.

No vamos a opinar ahora sobre la necesidad de actualizar este marco de cumplimiento siendo de por si el mas elevado respecto al resto de Autoridades de supervisión y consecuentemente todo el sector regulado, dado que existe la ley del menor esfuerzo lamentablemente “Si no es exigible, entonces no es importante”

Inclusive es la única Autoridad de supervisión con la certificación ISO 27001. Mas claro no podía ser.

Tambien el Banco central de Bolivia es regulador en materia de IEP - Instrumentos electronicos de pago: Banca digital, Tarjetas, Billetara movil generando requisitos minimos de seguridad.

 

EL PROBLEMA EN EL RESTO DE SECTORES

Ninguno del resto tiene regulación significativa. La ATT ha generado la ley de telecomunicaciones y TICs que es muy básica y algunas disposiciones, pero no un marco de cumplimiento para apoyar el desarrollo de este sector. Lo mismo que la AE responsable del sector eléctrico donde la prioridad como en la ATT siempre ha sido la provisión del servicio que de por si no esta mal, pero no deja presupuesto para potenciar el sector en ciberseguridad.

Si entendemos que ahora en el contexto de la banca digital muchos temas de ciberseguridad están ligados a la autenticación utilizando el teléfono celular entonces parte del problema esta en el sector telecomunicaciones. Ya hemos visto como el FRAUDE por suplantación por reposición de SIMCARD permite a un delincuente apropiarse del alinea telefónica y consecuentemente del factor de autenticación.

El resto de sectores tiene muy poca actividad como por ejemplo el sector SALUD con una intención de regular el tema de TICS recién en los últimos años. Cabe resaltar que en ciertos sectores prima más la privacidad de datos personales que tampoco tiene un marco de cumplimiento suficiente y que vaya más allá de los derechos fundamentales expresados en la constitución política del estado.

Si sumamos que el sector salud tiene datos muy personales de los pacientes entonces dejamos a merced de los ciber delincuentes toda esta información.

No es suficiente tener algún que otro artículo en el marco de cumplimiento legal, necesitamos que cada autoridad de supervisión entienda su rol respecto a la ciberseguridad en un mundo cada vez mas digitalizado. Si el sistema completo no logra un nivel uniforme, no podemos pensar en la ciberseguridad a nivel país.

De igual manera en materia de control para entidades publicas la misma Contraloría no ha generado un marco adecuado para la explotación de las tecnologías y sistemas de información, mas aun sobre ciberseguridad. Todo esto por ejemplo recae en la ausencia marcada de una política país sobre ciberseguridad como están generando países vecinos.

CONCLUSION

Si no generamos un marco exigible no avanzaremos. No es suficiente entender a nivel técnico, necesitamos definir un marco base que vaya subiendo cada año para lograr un nivel aceptable como país. No es un tema que el color político y la línea ideológica pueda regular. Los ciber ataques son muy incluyentes y solo necesitan una conexión vía internet, entonces no es lógico decir que el país va a desarrollar sin la tecnología de la información y su consecuente nivel de CIBERSEGURIDAD. No hay coherencia en ese discurso.

Nos seguimos rezagando como país

NIVEL DE SEGURIDAD

NIVEL DE SEGURIDAD EN EL PROTOCOLO HTTPS EN EL SECTOR DE VALORES DE BOLIVIA

Editor YPT 20/11/2021

Presentación:

En el marco del PROGRAMA DE APOYO AL PROFESIONAL JUNIOR, vamos lanzando diferentes actividades, una de ellas es el relevamiento del ESTADO de ciertos criterios de Seguridad en el contexto nacional. Con anterioridad habíamos presentado similar trabajo con Bancos. En esta ocasión el Ing. Daniel Yoshiro Orias Yamaguchi esta participando con este relevamiento. Presentamos el Resumen Ejecutivo por cuanto este trabajo cuenta con el sustento individual por cada entidad evaluada.

Consideramos que ciertos criterios como los canales seguros HTTPS deberían ser uniformes hacia la mayor y mas robusta configuración. Muy bien por las entidades que tiene resultados elevados, así debe ser siempre.

Atte.

Guido Rosales Uriona

Director del PAPJ

INTRODUCCIÓN

SSL es la tecnología estándar para mantener segura una conexión a Internet y salvaguardar cualquier información confidencial que se envíe entre dos sistemas, evitando que los delincuentes lean y modifiquen la información transferida, incluidos los posibles detalles personales. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador) o de servidor a servidor (por ejemplo, una aplicación con información de identificación personal o con información delicada).
HTTPS (Protocolo seguro de transferencia de hipertexto) aparece en la URL cuando un sitio web está protegido por un certificado SSL. Los detalles del certificado, incluida la autoridad emisora y el nombre corporativo del propietario del sitio web, se pueden ver en el candado en la barra del navegador.
Por lo que el presente informa esta realizado para recopilar información sobre el estado de la seguridad en certificados de las entidades que conforman la bolsa de valores de Bolivia.

OBJETIVO

El objetivo del presente informe es obtener información sobre el estado de certificados que protegen la seguridad de las páginas web de las entidades que conforman la bolsa de valores de Bolivia, para así conocer mejor el nivel de protección o las posibles falencias que se encuentren a nivel de seguridad en dichas páginas.

ALCANCE

El presente documento tiene como límite recopilar información acerca de la certificación SSL que protege las paginas web de la bolsa de valores de Bolivia mediante el Protocolo seguro de transferencia de hipertexto o HTTPS. La auditoría se realizará en las siguientes entidades:

Bolsas de valores:

• BBV - Bolsa Boliviana de Valores

Asociación de agentes de valores:

• ABAV Asociación Boliviana Agentes de Valores

Agentes de bolsa:

• BISA S.A. Agencia de Bolsa
• BNB Valores S.A. Agencia de Bolsa
• Compañía Americana de Inversiones S.A.
• Credibolsa S.A. Agencia de Bolsa
• Mercantil Santa Cruz Agencia de Bolsa S.A.
• Panamerican Securities S.A. Agencia de Bolsa.
• Valores Unión S.A. Agencia de Bolsa.
• Santa Cruz Securities Agencia de Bolsa S.A.
• Sudaval Agencia de Bolsa S.A.
• iBolsa Agencia de Bolsa S.A.
• Multivalores Agencia de Bolsa S.A.

Entidad de Depósito de Valores:

• Entidad de Depósito de Valores de Bolivia S.A.

RESUMEN EJECUTIVO

Se realizo la recolección de información de los certificados SSL para el protocolo HTTPs en los sitios web de las instituciones asociadas a la bolsa valores de Bolivia para identificar las posibles falencias que pueden exponer la seguridad de la página.

RESULTADOS

En la siguiente tabla podemos se puede observar las entidades auditadas, la dirección de la pagina web, el proveedor del certificado de seguridad y una escala del 0 al 100 de acuerdo al grado de nivel de seguridad de acuerdo a parámetros como: si el certificado es válido y de confianza, soporte de protocolo, soporte de cifrado y Soporte de intercambio de claves.

CONCLUSIONES Y RECOMENDACIONES

Conclusiones

Se realizo el análisis en cada uno de los sitios web de las entidades pertenecientes al sector de valores de Bolivia, se evidencio que la mayoría cumplen con los certificados de SSL de seguridad correspondientes para HTTPs, con algunas falencias en el uso de los protocolos TLS1.0 y TLS 1.1. También se evidencia que algunos sitios web no cuentan con la
certificación SSL y continúan aplicando el protocolo HTTP, que compromete la información que viaja atreves de esa página.

Recomendaciones

Se recomienda aplicar obtener la certificación para aplicar HTTPs las páginas que continúan con HTTP, y para los servidores que ya cuentan con la certificación se recomienda actualizar el soporte para las versiones de TLS 1.2 y TLS1.3 que cuentan con muchas más medidas de seguridad que las versiones anteriores.

Autor: Daniel Yoshiro Orias Yamaguchi.

Soy una persona apasionada por la tecnología, parte de mi formación está en el área de electrónica y telecomunicaciones a nivel técnico, en los últimos años me forme en el área de computación e informática, gracias a estas áreas tengo conocimientos variados en informática tanto en la parte de hardware como de software.

Actualmente soy licenciado de la carrera de informática con una mención en ingeniería de sistemas, con especializaciones en Seguridad de la información, Ethical hacking y Hacking corporativo, me gusta enseñar y aprender todo lo relacionado con la tecnología y seguridad.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023