Carlos A. Castillo L.

Los teléfonos celulares desde hace varios años dejaron de ser un lujo y pasaron a ser una necesidad: Permite que cualquier persona que conozca nuestro número se pueda comunicar con nosotros en cualquier parte desde que el dispositivo de comunicación tenga recepción de señal de la red celular. Si bien este es el uso normal de un teléfono celular, desde luego no es el único ni el más innovador y una muestra de ello es Taxi – 911.

En el primer trimestre de 2009 (aproximadamente en marzo) se lanzó al público un servicio en Colombia que pretende “crear redes de información digital para la seguridad ciudadana” mediante el envío de un mensaje corto (o SMS) al número 911 con la placa de un taxi para:

1. Verificar que la placa del vehículo se encuentre registrada ante las autoridades
2. Guardar de forma confidencial datos de la carrera (número de celular, hora de envío del mensaje y placa del vehículo) por si en caso de un siniestro las autoridades lo solicitan
3. Confirmar el acceso a un seguro de vida y por gastos médicos (el titular de la línea o el usuario de la línea corporativa)  en caso de que suceda algún evento de inseguridad durante el viaje en el taxi (2 horas en caso de accidente y 24 horas en caso de desaparición)

El servicio protege a la persona contra el llamado “paseo millonario” el cual existe en tres sabores diferentes :

1. Clásico: Se sube el pasajero, un momento después se suben otras personas y con amenaza y violencia someten al pasajero para que vaya retirando el dinero en cajeros electrónicos.
2. Novedoso: Incluye el escaneo de frecuencias de las compañías de taxi para interceptar el servicio de solicitud de taxi por radioteléfono.
3. Secuestro Express: Incluye la extorsión a la familia del pasajero mientras lo privan de la libertad.

El valor del mensaje de texto es de $383 (IVA incluido) y se puede enviar a través de una línea Comcel, Movistar o Tigo.  El servicio está funcionando actualmente en Bogotá, Medellín, Cali, Cartagena, Armenia, Pereira, Manizales, Bucaramanga, Valledupar, Sincelejo, Florencia, La Calera (Cundinamarca), La estrella (Antioquia) y Caldas (Antioquia).

Si bien no es un servicio nuevo (ya casi va a cumplir un año), si me parece que es una buena medida de seguridad en caso de ser victimas de un paseo millonario debido a que queda el registro de la información de la carrera en caso de que suceda cualquier incidente por lo que, en un futuro proceso investigativo, es más probable que se de con los perpetuadores de la acción delictiva. Por otro lado, pienso que es una forma inteligente de utilizar una tecnología que está al alcance de la mayoría de personas con el fin de velar por la seguridad de la ciudadanía.

Para finalizar, encontré un tip bastante útil para el uso de este servicio el cual consiste en que si se recibe el mensaje con el resultado de que el taxi es ilegal, se debe continuar con tranquilidad para no alertar al conductor. “La idea es que el pasajero encuentre una buena excusa para ponerse a salvo y evitar que lo hagan victima del “paseo millonario”. Una de las recomendaciones es que el pasajero cambie con naturalidad el destino que le había dicho al taxista por uno mas corto, para así bajarse del taxi cuanto antes. Una buena excusa seria decirle al taxista que se deben devolver al lugar, donde se tomó el taxi, pues “se me olvidaron unos documentos y debo recogerlos”. Me pareció interesante este consejo debido a que conozco un caso de una persona cercana que alertó al conductor y éste empezó a realizar llamadas por celular sospechosas. Afortunadamente el taxista lo dejó bajar antes de llegar a su destino.

PD: ¿Alguno de ustedes ha utilizado el servicio? ¿Qué tal le ha parecido? Si recibió el mensaje de que el taxi era ilegal ¿Le comentó al conductor? Si usó alguna excusa para bajarse antes, ¿Cuál usó?

Uno de los aspectos más importantes que influyen en la decisión de entrar a la Web 2.0 es la privacidad en Internet. Lo anterior debido a que la información personal privada que se comparte puede ser utilizada para una gran cantidad de actos delictivos: extorsión, robo de identidad (con estafa financiera incluida), instalación de aplicaciones maliciosas y hasta publicación de situaciones bastante bochornosas.

Es por esto que Facebook anunció el 9 de diciembre del 2009 la posibilidad de configurar opciones de privacidad y poder tener más control sobre quién puede consultar la información de nuestro perfil. Efectivamente se han agregado paulatinamente nuevas funcionalidades para proteger la confidencialidad de nuestra información. Estas opciones se pueden consultar en nuestra página principal de Facebook, en la pestaña “Configuración de privacidad”:

Desde esta sección se puede controlar, entre otras cosas, quién puede acceder a específicamente cualquier información personal que se encuentre publicada en el perfil (fecha de cumpleaños,  intereses, actividades, familiares y relaciones personales, fotos, correo electrónico, dirección física, teléfono móvil etc…), sin embargo, lo que más me llamó la atención de este menú de configuración fue la parte de “Búsquedas” en donde se configura quién puede encontrarlo a uno en las búsquedas de Facebook y en motores de búsqueda (Google, Yahoo, Bing etc…):

Si se selecciona la opción “permitir”, los motores de búsqueda encontrarán toda la información que en los anteriores apartados de privacidad hayamos marcado como “TODOS”, es decir, no significa “TODO” Facebook sino TODO INTERNET. De esta forma, cuando alguien nos busque en Google por ejemplo saldría nuestra foto de perfil, una muestra aleatoria de nuestros amigos y nuestros intereses (fan de famosos, productos, música, programas de televisión).

Hace unos días, el fundador de Facebook Mark Zuckerber dio una controversial declaración: “Si tuviera que volver a comenzar hoy en día el proyecto Facebook, los datos de los usuarios serían públicos”. La razón de esto, según el, es que “en los últimos años, hemos asistido a como los usuarios comparten información de cualquier tipo y desde diferentes servicios en Internet y se sienten cómodos haciéndolo”.

Con respecto a lo anterior, pienso que si bien a algunas personas les gusta publicar toda su información personal en Internet, a otras les gusta tener un nivel de privacidad diferente. Lo ideal es que cada persona tenga control sobre la información que publica y pueda decidir quién está autorizado para accederla. Facebook, con más de 300 millones de usuarios a nivel mundial es una representación social virtual de nuestro mundo: Hay personas correctas pero también existen delincuentes que buscan, en su gran mayoría, beneficio económico.  Por ello, los “administradores” de este mundo virtual les deben permitir a los usuarios tener control de su información para prevenir casos como los mencionados anteriormente.

El día de hoy recibí una carta enviada a la Pontifica Universidad Javeriana en la cual el presidente de Colombia Álvaro Uribe Vélez me felicita por haber ganado el concurso latinoamericano a la investigación más destacada en seguridad antivirus. Para mi es un orgullo recibir esta comunicación y la comparto en este espacio para invitar a mis compatriotas a continuar sacando la cara por el país generando conocimiento a través de la investigación en nuevas tecnologías.

Aprovecho la ocasión para agradecer a todas las personas que pusieron su grano de arena en este logro. Desde la formación que me proporcionó la Universidad, pasando por profesores que inculcaron en mi el gusto por la investigación hasta el apoyo, motivación y colaboración de amigos y familia. A todos muchas gracias por contribuir en este trabajo de investigación que realicé el año pasado.

Este año se realizará de nuevo el premio ESET 2010. El año pasado, en el segundo puesto, quedó Jaime Andrés Restrepo (conocido también como DragonJAR) lo cual demuestra que los colombianos tenemos potencial en el campo de seguridad informática.  Espero que, al igual que en el 2009, el premio se quede en casa y que la persona que lo gane pueda asistir al Virus Bulletin 2010 que este año se celebrará en Vancouver (Canadá), es una experiencia invaluable en cuanto a formación en seguridad antivirus (tanto técnica como de la industria).

Luego de la bastante comentada cumbre climática de Copenhague, Dinamarca, en diciembre de 2009 (la cual no logró incluir más recortes en la emisión de gases de invernadero), me encuentro con una propuesta bastante interesante del diseñador Chino Daizi Zheng: Un teléfono celular que funciona a base de Coca-Cola (o más exactamente a base de azúcar).

La idea es simple pero poderosa: Utilizar bio-baterías amigables para el ambiente (libre de polución) generando electricidad mediante la aplicación de encimas como un catalizador de los carbohidratos (actualmente azúcar). De este modo, lo único necesario para que el teléfono celular funcione es una bebida azucarada. Una vez la batería se agota, los residuos resultantes son agua y oxígeno lo cual es bastante amigable con el planeta. Según Daizi Zheng, las bio-baterías, en una sola carga, triplica y hasta cuadruplica la duración de una batería de lithium tradicional.

Desde luego el diseño del dispositivo es de Daizi Zheng, sin embargo, la tecnología al parecer la empezó a desarrollar Sony desde hace algunos años, anunciándola oficialmente en el 2007. En ese año la bio-batería era capaz de generar 50mW, capaz de hacer funcionar un Walkman (todo un record para la época). Al parecer la inversión en investigación y desarrollo de la tecnología ha surtido efecto y actualmente es posible hacer funcionar un teléfono celular con una bebida azucarada.

Espero que las grandes empresas sigan impulsando este tipo de iniciativas (teniendo en cuenta el cada vez mayor uso de dispositivos electrónicos desechables) con el fin de reducir el daño que le estamos haciendo al planeta, ya que por ahora no es posible reversarlo.

La seguridad informática en dispositivos móviles aún está muy atrasada con respecto a la que se desarrolló pensando en computadores tradicionales. Según mi criterio, una de las razones más importantes es que no existe aún un sistema operativo que domine el mercado de los dispositivos móviles; cosa que si sucede con Windows en los computadores tradicionales. Consecuencia directa de este hecho es que aún no existe una amenaza en seguridad de la información que tenga un amplio alcance, riesgo y velocidad de propagación…hasta hace unos meses con el incidente de la primera Botnet que afecta los famosos iPhone: iKee.B (Duh) (para los interesados en el tema recomiendo leer el análisis realizado por el SRI).

Resumiendo un poco lo sucedido, en noviembre de 2009 usuarios holandeses de iPhones desbloqueados (liberados del control de la AppleStore que se encontraban en el rango de direcciones IP de T-Mobile 3G notaron una extraña imagen en sus dispositivos:

La ventana le notificaba al usuario que su dispositivo había sido vulnerado y que, si deseaba eliminar el código malicioso instalado, debía pagar 5 USD en un sitio web dedicado para ello. El ataque consistía en realizar una conexión SSH utilizando la contraseña por defecto que tiene Applie en sus iPhone: “alpine”. Luego de tener permisos de root (administrador), el delincuente informático podía ejecutar cualquier comando en el dispositivo, incluyendo infectar el dispositivo con el primer gusano para iPhone: iKee.A. En este momento, el código malicioso podía ejecutarse automáticamente infectando otros dispositivos vulnerables, logrando aproximadamente 21.000 víctimas en una semana (SRI). ¿Cuál sería el siguiente paso lógico para realizar acciones delictivas aprovechando la NOTORIA vulnerabilidad de Apple? R/ La amenaza de moda del 2009: Crear una botnet para iPhone. Para realizar esto se le agregó una consola de comando y control al malware con el fin de controlar todos los dispositivos zombies. Con lo anterior se ratifica lo que investigué el trabajo que realice para el premio ESET 2009: Una red de dispositivos infectados que aprovecha la ubiquidad y conectividad que proporciona las redes inalámbricas 3G.

Ahora bien, la seguridad informática en dispositivos móviles ya no es un mito. El alcance de una amenaza de estas ya no se limita por el alcance del protocolo Bluetooth como sucedía hace unos años: Ahora es posible infectarse automáticamente solamente conectándose a Internet utilizando un dispositivo vulnerable. Es por esto que es importante comenzar a pensar en mecanismos de seguridad informática que existen actualmente en los computadores tradicionales como los analizadores de tráfico (sniffers). Toda esta introducción es para hablar sobre pirni, el primer sniffer de red nativo para iPhone (pirni):

Esta es una interesante iniciativa la cual puede evolucionar a un IPS (Intrusion Prevention System) que pueda analizar el tráfico y bloquear el que considere sospechoso. Desde luego es un desarrollo primitivo que tiene ítems por mejorar, como por ejemplo que sólo funciona en iPhone liberados, sin embargo, es un primer paso en el desarrollo de herramientas que permitan la protección de información confidencial en dispositivos móviles.

Por supuesto que un sniffer también puede ser usado para violar la privacidad de otros realizando ataques de ARP Spoofing o de MitM (Man in the Middle / Hombre en el medio), y ésta no es la excepción. Es por esto que es importante utilizar este tipo de herramientas con responsabilidad y uno de los usos que se me ocurren en este momento es, por ejemplo, detectar el intenso escaneo de dispositivos vulnerables que realiza iKee cuando su iPhone está infectado.

Fuente: iPhorensics

Con agrado encuentro que en los nuevos contenidos de la Red Temática Criptored de diciembre (gracias a Hispasec) se encuentra el trabajo de grado “iPhorencis: Un protocolo de análisis forense para dispositivos móviles inteligentes” realizado por Andrea Ariza y Juan Camilo Ruiz bajo la dirección del Ingeniero Jeimy Cano PhD. Esta investigación complementa el trabajo de grado que presenté en el 2008, junto con mi compañero Andrés Romero, para optar por el título de Ingeniero de Sistemas llamado “Guía Metodológica para el Análisis Forense Orientado a Incidentes en Dispositivos Móviles GSM”, también dirigido por el Ingeniero Jeimy Cano.

Hago un pequeño paréntesis para las personas que no están muy informadas sobre el tema de la informática forense. “Como disciplina, la informática forense tiene como fin el aplicar los estándares y procedimientos estándar que se utilizan en una investigación de crímenes e incidentes, para enfocarlos hacia el análisis de datos y evidencia digital, todo esto soportado por herramientas tecnológicas de extracción y análisis de datos” PUJ-ForenciscsGSM-08. En otras palabras, es la disciplina que se encarga de definir cómo realizar una investigación en medios electrónicos con el fin de encontrar evidencia digital que soporte una afirmación en una corte judicial. Un caso famoso en el país en el que se utilizó la informática forense fue en el tema de los portátiles encontrados en el campamento de Raúl Reyes. Sin los estándares y procedimientos proporcionados por esta disciplina, la evidencia digital encontrada no hubiera podido ser aceptada por la comunidad internacional.

Los dos trabajos que mencioné al inicio aportan al cada vez más importante tema de investigación de la informática forense en dispositivos móviles el cual actualmente está dirigido, en gran parte, a la recolección de evidencia digital para utilizarla en casos como extorsión, secuestro, conspiración entre otros delitos, sin embargo, existe poca información relacionada con la siguiente pregunta: ¿Cómo investigar un ataque informático realizado a un dispositivo móvil?. Para responder a esta incógnita, es importante primero abordar los siguientes temas:

1. Conocer los estándares y procedimientos existentes para realizar un análisis forense en un dispositivo electrónico
2. Conocer el dispositivo (tanto el hardware como el software) donde se encuentra la potencial evidencia digital
3. Conocer los problemas de seguridad que tiene el dispositivo involucrado

El paso a seguir consiste en proponer y evaluar una guía metodológica que permita llevar a cabo un análisis forense pero orientado a incidentes, es decir, enfocado en la investigación de ataques informáticos dirigidos a dispositivos móviles. En eso se resume una de las iniciativas de investigación que está llevando a cabo el Ingeniero Jeimy Cano en la Pontificia Universidad Javeriana; sin embargo, existe todavía mucho por avanzar en este campo como por ejemplo el desarrollo de herramientas forenses actualizadas (el caso del iPhone), la constante evolución de las guías metodológicas propuestas, la aplicación de los procedimientos generados en el análisis de ataques orientados a la tecnología 3G, el análisis de incidentes ocurridos en el sistema operativo Android etc…

Tanto la tecnología en dispositivos móviles, como los ataques informáticos orientados a estas plataformas, evolucionan con gran rapidez y es importante que los organismos de investigación judicial estén actualizados en este campo. Por lo anterior considero que la informática forense en dispositivos móviles es un campo que está en constante evolución y que cada vez adquirirá mayor importancia tanto en la industria TI como en los organismos de control y de justicia.

Primero fue el motor de búsqueda el cual llamamos simplemente “Guugol”, “San Guugol”, “Doctor Guugol” entre otros. Luego, para sacarle provecho a la idea, lanzaron Google AdWords y Google AdSense. Hasta ahí nada raro, sin embargo, fueron más allá… Google Mail (Gmail), Google Earth, Google Maps, Google Groups, Google News, Google Apps, Google Talk, Google Video (Youtube), Google Desktop, Android (participación), Google Chrome, (Google, Gooogle y más Goooooogle) son un pequeño ejemplo de la gran variedad de productos y servicios que tienen, en su gran mayoría, una característica común: son gratuitos.

Sin embargo, Google no paró ahí. En los últimos años hemos visto fuertes apuestas en el mundo TI, muy al estilo Microsoft pero relacionadas con el dominio de “la nube”: Google URL Shortener y Google DNS . Gran parte de todo este trabajo realizado en los últimos 10 años se ha sintetizado en el tema del presente post; en la llamada gran amenaza del iPhone (una más luego del Droid): Nexus One (Google Phone).

Lanzado el día de ayer, 5 de enero, ha sido y será noticia durante una cantidad considerable de tiempo (un par de meses). Es por eso que merece la pena analizarlo, compararlo y, desde luego, revisar el aspecto que más me interesa: la seguridad de la información.

Para resumir un poco las especificaciones técnicas, compararé los aspectos diferenciadores más importante respecto a los dispositivos móviles de punta actualmente:

COMPARATIVO

El siguiente cuadro lo realicé tomando en cuenta lo que, en mi concepto, es relevante comparar entre los diferentes dispositivos móviles:

Fuente de las especificaciones: Movilzona y Google Phone

Según la tabla, al parecer el ganador es Nexus One, un teléfono potente de última tecnología y respaldado por una gran marca como lo es Google. Esperen la segunda parte de este análisis en donde hablaré un poco de las características innovadoras y diferenciadoras del Nexus One.

Por: Carlos A. Castillo L.

Luego de mucho meditar, finalmente he decidido comenzar este blog hoy, el primer día laboral del 2010 en Colombia. He estado pensando desde hace ya unos años en tener mi espacio en Internet para poderme expresar y compartir experiencias, opiniones, recomendaciones, investigaciones y, en general, todo lo que para mi es interesante en el campo de la seguridad informática y los dispositivos móviles.

La idea de este espacio es no sólo expresarme sino también obtener retroalimentación de ustedes, lectores de todo el mundo, que también, al igual que yo, están interesados en el tema. En este sitio web comentaré sobre nuevas tecnologías, experiencias generales de mi vida laboral, indagación sobre temáticas de interés relacionadas con la gestión de la seguridad de la información, publicación de artículos interesantes que se generan en Internet entre otros aspectos. La orientación de este blog es equilibrada: Aborda tanto temas técnicos como administrativos/corporativos.

Por ahora pueden consultar mi CV en la pestaña “Sobre Carlos Castillo” para conocerme un poco más. Cualquier inquietud, comentario, propuesta, proyecto, sugerencia pueden escribirme a carlosacastillo.co@gmail.com.