Octubre 5 de 2014 OSCAR ARIAS Coordinador colCERT Grupo de

Octubre 5 de 2014 OSCAR ARIAS Coordinador colCERT Grupo de

Octubre 5 de 2014
OSCAR ARIAS
Coordinador colCERT
Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT
MINISTERIO DE DEFENSA NACIONAL – COLOMBIA
Estimado Oscar
Te envío algunas recomendaciones que las baso en nuestras ideas sobre el tema de I+D como
aporte al documento. Es posible que la manera de redactarlo no sea es la correcta para el
documento pues no tengo claro el tono del mismo, pero como son asuntos de los cuales estamos
trabajando me parece que es lo que debo comentar
Supongo que ustedes tomarán de aquí lo pertinente, espero que lo que envío sea útil:
Incluir desde Colciencias nuevos índices de gestión en la investigación
En la actualidad los índices de Colciencias para medir la investigación está orientada en gran
parte al número de publicaciones en revistas indexadas lo cual no pretendemos que se disminuya
su énfasis, pero teniendo en cuenta que la seguridad informática está relacionada con la práctica
se debería incentivar la investigación relacionada con el impacto sobre el entorno para que no
sólo se base en la publicación de artículos puramente teóricos. Esto implica que haya mediciones
de las investigaciones sobre implementaciones de modelos tecnológicos orientados a la
seguridad, metodologías aplicables a nuestro ambiente Colombiano y prototipos replicables e
industrializables.
Construir o adoptar metodologías formales en los procesos de investigación
Se debe definir métodos formales de los diferentes tipos de investigación para que haya una
especie de normalización de los procesos incluida la documentación.
Nota: En Uniminuto hemos trabajado el tema bajo las pautas de Fernando García Córdoba
Maestro Mexicano en metodología de la Ciencia y doctor en Psicología social quien escribió el
libro La investigación tecnológica con la Editorial Limusa, Noriega Editores, de México, ISBN 96818-6597-9 de lo cual creamos un modelo propio que hemos presentado en un encuentro de Acofi
y que estamos tratando de multiplicar su conocimiento con nuestros investigadores. Lo hemos
validado en una investigación sobre Autodocumentación de software.
Definir lo que significa el entorno en los procesos de investigación
El entorno lo definimos como empresas, territorios, lugares concretos en donde se desea
implementar los prototipos de las investigaciones. Esta definición debe explayarse más.
Software seguro
Debe tenerse en cuenta, además de la seguridad perimetral, que se refiere a la infraestructura
física, el problema relacionado con el Software seguro que es más sofisticado que la seguridad
perimetral ya que el software trae consigo riesgos de seguridad muy ocultos a los ojos del público
y de los profesionales de la seguridad. Estos riesgos no solo pasan desapercibidos sino que se
dejan a un lado por la falta de experiencia en el desarrollo de software. Este tema tiende a ser
dejado de lado por parte de los expertos en seguridad debido a que su enfoque es el de la
seguridad perimetral.
Formación profesional en asuntos de seguridad
Hay un riesgo en los aspectos de formación profesional que debe vigilarse pues hay vacíos en los
profesionales de seguridad en el desarrollo de software y en los profesionales del software hay
debilidad en el conocimiento de las redes y de la seguridad informática.
La electrónica libre multiplicará los riesgos
La presencia de la electrónica libre, tipo Arduino, popularizará la programación de sensores con
IP, con los cual aparecerán más hackers no éticos, crackers, generando múltiples maneras de
ataque aún desconocidos.
Riesgos para la sociedad que deben impulsar nuevas áreas de investigación
Teniendo en cuenta que que estos sensores se relacionarán con automatización de dispositivos
físicos, sus ataques crearán peligros que ponen en riesgo a la sociedad y por lo tanto a las
personas mismas. Se deben incrementar las convocatorias de Colciencias para investigar en este
tipo de dispositivos.
Riesgos por el desconocimiento técnico de la computación en la nube
La aparición de los Hipervisor en el software que permite hacer computación en la nube tiene un
efecto multiplicativo de los riesgos puesto que la intervención sobre ellos afectará miles o millones
de servidores virtuales y sus aplicaciones. Para ofrecer seguridad en la nube no basta el hecho de
ser usuario de la computación en la nube en sus diferentes acepciones sino que se debe tener
conocimiento técnico en su arquitectura. Se debe incentivar investigaciones en esta área.
Los siguientes puntos los baso en apreciaciones personales y un artículo de la revista Computer
de IEEE de Abril de 2013 titulado Cyberentity Security in the Internet of Things.
Los aspectos que aumentan los riesgos en el Internet de las cosas son:
Más cobertura con riesgos de ataques a la infraestructura
Se aumentará la cobertura, al llenarse el espacio físico de las ciudades, la industria, las empresas,
las casas y demás áreas que ocupa la gente, con sensores remotos con capacidad de incluir IP en
su funcionamiento y por lo tanto aumentar el riesgo en los ataques, que en estos casos estará
orientados a dispositivos que manejan infraestructura.
Riesgos debido a mezcla de interacciones en diferentes tipos de plataformas
Los posibles ataques incluirán una mezcla de interacciones que van desde lo físico hasta lo virtual
con responsabilidades de tipo social porque su aplicación impactará asuntos relacionados con las
personas y la sociedad
Desconocimiento de diversas tecnologías electrónicas
Presencia de múltiples tecnologías que traen riesgos por desconocimiento por parte de los
expertos en seguridad como: dispositivos de radio frecuencia, radares, rayos infrarrojos, GPSGlobal Positioning Systems, Wifi, Bluetooth, ZigBee es decir dispositivos que usan protocolos de
alto nivel de comunicación inalámbrica para su utilización con radiodifusión digital y domótica entre
otras aplicaciones, válvulas y switches programables que conectan sensores.
Diversos elementos sujetos a nuevos riesgos
Los sensores ponen en riesgo todo tipo de elementos que se catalogan dentro del Internet de las
cosas, es decir que son controlables de manera remota y que manejan: datos, Metadatos, código
fuente, algoritmos, transporte, telecomunicaciones. industria, hogar, medicina, llegando inclusive a
comprometer la seguridad nacional.
Requerimientos de asegurar autenticaciones seguras
Deben estar sujetos a cumplir requerimientos de privacidad, no repudiación, autenticación única
(Single sign-on)
Por ahora estas son algunas de mis indicaciones