Este documento analiza los aspectos regulatorios asociados a la ciberseguridad en tres oraciones:
1) Describe las organizaciones internacionales que desarrollan estándares de seguridad como la UIT, ISO, IEC, así como amenazas, vulnerabilidades y mecanismos de seguridad en redes.
2) Examina el estado actual de la seguridad en las redes de telecomunicaciones de Colombia y la legislación relacionada a nivel internacional, latinoamericano y colombiano.
3) Propone acciones regulatorias como modificar definiciones
1. ASPECTOS REGULATORIOS ASOCIADOS A LA
CIBERSEGURIDAD.
Centro de Conocimiento del Negocio
Septiembre de 2009
Comisión de Regulación de Comunicaciones – República de Colombia
2. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
ÍNDICE
1. ANTECEDENTES ............................................................................................... 5
2. NORMAS DE SEGURIDAD DE ENTES INTERNACIONALES ............................... 6
2.1 Organizaciones Internacionales desarrolladoras de Estándares de seguridad de
las TIC ................................................................................................................................. 7
2.1.1 Unión Internacional de Telecomunicaciones – UIT - .......................................... 7
2.1.2 International Electrotechnical Commission –IEC................................................ 9
2.1.3 Internet Engineering Task Force ...................................................................... 10
2.1.4 The 3rd Generation Partnership Project- 3GPP............................................... 11
2.1.5 Alliance for Telecommunications Industry Solutions – ATIS- ........................ 12
2.1.6 The European Telecommunications Standards Institute – ETSI-................. 12
3. AMENAZAS, VULNERABILIDADES Y MECANISMOS DE SEGURIDAD ............ 12
3.1 AMENAZAS............................................................................................................ 13
3.1.1 Amenazas de Autorización .................................................................................. 13
3.1.2 Falsificación IP (IP Spoofing) ............................................................................. 13
3.1.3 Rastreadores de red (Network sniffers) ............................................................ 13
3.1.4 Denegación de servicio - DoS ............................................................................. 14
3.1.5 Ataques en Cadena .............................................................................................. 14
3.1.6 Trampas traseras ................................................................................................. 15
3.1.7 Enmascaramiento, Ataques por Respuesta, Modificación de Mensajes........... 15
3.1.8 Ataques desde el Interior.................................................................................... 15
4. AMENAZAS Y MECANISMOS DE SEGURIDAD EN LAS CAPAS OSI .................. 16
4.1 AMENAZAS CONTRA LA SEGURIDAD ........................................................................ 16
4.1.1. Amenazas accidentales ...................................................................................... 17
4.1.2 Amenazas intencionales...................................................................................... 17
4.1.3 Amenazas pasivas................................................................................................ 17
4.1.4 Amenazas activas ................................................................................................ 17
4.1.5 Tipos específicos de ataque ................................................................................ 17
4.2 SERVICIOS DE SEGURIDAD....................................................................................... 18
4.2.1 Servicio de Autenticación.................................................................................... 19
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 2 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
3. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
4.2.2 Control de acceso ................................................................................................ 19
4.2.3 Confidencialidad de los datos ............................................................................. 19
4.2.4 Confidencialidad del flujo de tráfico................................................................... 19
4.2.5 Integridad de los datos ....................................................................................... 19
4.2.6 No repudio............................................................................................................ 19
4.3 MECANISMOS DE SEGURIDAD .................................................................................. 20
4.3.1 Cifrado .................................................................................................................. 20
4.3.2 Mecanismos de firma digital ............................................................................... 20
4.3.3 Mecanismos de control de acceso ...................................................................... 20
4.3.4 Mecanismos de integridad de los datos ............................................................. 20
4.3.5 Mecanismo de intercambio de autentificación .................................................. 20
4.3.6 Mecanismo de relleno de tráfico......................................................................... 21
4.3.7 Mecanismo de control de encaminamiento ....................................................... 21
4.3.8 Mecanismo de notarización................................................................................. 21
5. SEGURIDAD EN LAS REDES MÓVILES ........................................................... 22
5.1 AMENAZAS Y MECANISMOS DE SEGURIDAD EN REDES MÓVILES ......................... 22
6. DEFINICIONES .............................................................................................. 27
7. NORMAS Y SOLUCIONES DE SEGURIDAD ..................................................... 31
7.1 Normas de Seguridad................................................................................................. 31
7.1.1 ISO/IEC 27001 .................................................................................................... 31
7.1.2 ISM3 ..................................................................................................................... 31
7.1.3 COBIT ................................................................................................................... 32
7.1.4 ITIL ....................................................................................................................... 32
8. ESTADO ACTUAL DE SEGURIDAD EN LAS REDES DE TELECOMUNICACIONES
EN COLOMBIA ................................................................................................... 34
8.1 Practicas de Seguridad .............................................................................................. 34
8.2 Políticas de Seguridad ............................................................................................... 39
9. LEGISLACIÓN ................................................................................................ 43
9.1 LEGISLACIÓN INTERNACIONAL................................................................................ 44
9.2 LEGISLACIÓN LATINOAMERICANA........................................................................... 45
9.3 NORMATIVIDAD COLOMBIANA................................................................................. 48
10. ACCIONES REGULATORIAS PROPUESTAS ................................................... 54
10.1 DEFINICIONES - MODIFICACIÓN ARTÍCULO 1.8 RESOLUCIÓN 1740 DE 2007S 55
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 3 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
4. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
10.2 MODIFICACIÓN ARTÍCULO 2.4 RESOLUCIÓN CRT 1740 DE 2007 ....................... 57
10.3 MODIFICACIÓN DE LOS ARTÍCULOS 22 y 23 DE LA RESOLUCIÓN CRT 1732 DE
2007 .................................................................................................................................. 58
11. PARTICIPACIÓN DEL SECTOR ..................................................................... 59
12. BIBLIOGRAFÍA ............................................................................................ 60
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 4 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
5. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
ASPECTOS REGULATORIOS ASOCIADOS A LA CIBERSEGURIDAD.
1. ANTECEDENTES
Dentro de este contexto, una de las principales responsabilidades de la Comisión de Regulación de
Comunicaciones es aquélla relacionada con la expedición de la regulación asociada a la protección
de los derechos de los suscriptores y/o usuarios de los servicios de telecomunicaciones, facultades
que fueron otorgadas inicialmente en virtud de la Ley 142 de 1994, el Decreto 1130 de 1999, la Ley
555 de 2000 y el Decreto 2870 de 2007 y, posteriormente, recogidas en la Ley 1341 de 2009,
norma que asigna a la CRC la función de fijar el régimen de derechos y obligaciones de los usuarios
de todos los servicios de telecomunicaciones, establecer el régimen de regulación que maximice el
bienestar social de los usuarios, así como de promover como expresión del poder de intervención
del Estado en el sector para lograr condiciones de seguridad de los servicios al usuario final,
incentivando acciones de prevención de fraudes en la red, la seguridad informática y de redes para
desarrollar las Tecnologías de la Información y las Comunicaciones –TIC-.
Dentro de este marco conceptual, la Comisión en el año 2007, publicó para conocimiento del sector
y del público en general, el documento titulado Estudio para la implementación de una estrategia
nacional de ciberseguridad, elaborado a partir de experiencias e iniciativas internacionales sobre el
tema de Ciberseguridad. Adicionalmente, en junio de 2008, la Comisión publicó un documento
denominado Recomendaciones para elaborar y adoptar una Estrategia Nacional de Ciberseguridad,
con el fin de proporcionar instrumentos idóneos para la colaboración y cooperación sobre la materia
entre el gobierno y todos los niveles del sector privado, el cual fue sometido a la consideración del
Gobierno Nacional, del sector privado y de la academia.
En línea con lo anterior, durante el segundo semestre de 2008 se llevó a cabo una encuesta con
operadores de telecomunicaciones sobre el estado de la seguridad informática, la cual permitió
comparar, analizar y generar un diagnostico sobre los tipos de mecanismos de seguridad y
certificaciones en seguridad informática, así como la existencia de potenciales riesgos de seguridad.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 5 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
6. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
Por otra parte, se adelantó un estudio sobre la implementación y funcionamiento de un CSIRT1, el
cual proporciona elementos de referencia para identificar servicios, políticas y procedimientos
apropiados de este tipo de centros que son aplicables a cualquier sector en el ámbito nacional y, en
particular, al sector de telecomunicaciones.
Dado lo anterior, y teniendo en cuenta que la protección del ciberespacio es un factor de
trascendente importancia para preservar la seguridad de la nación y su economía, resulta preciso
estudiar los cambios que se han generado sobre estos asuntos y, además, analizar alternativas de
modificación o creación de reglas para contribuir desde la perspectiva regulatoria interna.
Con el fin de cumplir con lo descrito anteriormente, es necesario considerar las diferentes
tendencias mundiales sobre la materia, el estado actual de redes de telecomunicaciones en el país,
realizar un análisis de las teorías sobre amenazas, los servicios y mecanismos de seguridad que son
implementados en las redes de telecomunicaciones. A su vez, examinar las herramientas de
seguridad para la protección a múltiples niveles, las principales herramientas de seguridad en
Internet, las tecnologías de seguridad para las comunicaciones móviles, las regulaciones que han
sido implementadas en Colombia y en otros países y presentar recomendaciones regulatorias sobre
posibles cambios de la regulación actual, de acuerdo con las directrices presentadas en el desarrollo
de este documento sobre seguridad en redes de telecomunicaciones.
2. NORMAS DE SEGURIDAD DE ENTES INTERNACIONALES
En este capítulo se describen las organizaciones mundiales que desarrollan estándares de seguridad
de las TIC de carácter internacional y regional. A su vez, se analizarán los estándares que se
encuentran disponibles y los que se encuentran en desarrollo, en temas de seguridad de la
información, redes y aplicaciones.
1
Un Equipo de Respuesta a Incidentes de Seguridad (CSIRT) es una organización que es responsable de recibir, revisar y
responder a informes y actividad sobre incidentes de seguridad. Sus servicios son generalmente prestados para un área de
cobertura definida que podría ser una entidad relacionada u organización de la cual dependen, una corporación, una
organización de gobierno o educativa; una región o país, una red de investigación; o un servicio pago para un cliente.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 6 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
7. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
2.1 Organizaciones Internacionales desarrolladoras de Estándares de seguridad
de las TIC
Este numeral contiene información sobre los enfoques de cada una de las organizaciones
internacionales encargadas del desarrollo de estándares de seguridad de las TIC, a su vez, se
describirán terminologías y vocabulario utilizado en los estándares. Dichas organizaciones se
pueden clasificar de la siguiente manera:
Las de carácter internacional:
• International Telecommunication Union - Telecommunication Standardization Sector (ITU-T)
• International Organization for Standardization (ISO)
• International Electrotechnical Commission (IEC)
Las de carácter regional:
• Alliance for Telecommunications Industry Solutions (ATIS)
• The European Telecommunications Standards Institute (ETSI)
• Regional Asia Information Security Standards Exchange (RAISE Forum)
Los foros y cuerpos de seguridad:
• Organization for the Advancement of Structured Information Standards (OASIS)
• The 3rd Generation Partnership Project 2 (3GPP2)
A continuación se describirán las principales normatividades y estándares desarrollados en el área
de seguridad de las telecomunicaciones, por las organizaciones antes descritas.
2.1.1 Unión Internacional de Telecomunicaciones – UIT -
Grupo de Estudio 17 (SG 17)2 de la UIT-T
Este grupo de estudio fue desarrollado para liderar temas de seguridad de las telecomunicaciones
en concordancia con lo dispuesto en la última Asamblea Mundial de Estandarización de las
Telecomunicaciones (WTSA-08). Las principales actividades que desarrolla este grupo se centran en
2
http://www.itu.int/ITU-T/studygroups/com17/index.asp
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 7 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
8. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
mantener material de investigación actualizado sobre temas de seguridad e identificar las
principales necesidades en el área de seguridad con el objeto de desarrollar recomendaciones.
Dentro del SG 17 existe la cuestión 1/17 en donde se desarrollan soluciones o mecanismos de
seguridad. Los demás grupos de estudios de la UIT tienen la obligación de mantener informado al
citado grupo sobre trabajos o planes que serán desarrollados y que involucren temas de seguridad.
Para el desarrollo de sus actividades, el SG17 está dividido en dos subgrupos (Working Grups)
relacionados con seguridad:
WP1 Seguridad en Información y Redes (Network and information security);
Q 1/17 Proyecto de seguridad de sistemas de telecomunicaciones (Telecommunications systems
security project )
Q 2/17 Marco y arquitectura de Seguridad (Security architecture and framework)
Q 3/17 Manejo de seguridad de la información en Telecomunicaciones (Telecommunications
information security management)
Q 4/17 Ciberseguridad (Cybersecurity)
Q 5/17 Lucha contra el spam por medios técnicos (Countering spam by technical means)
WP2 Seguridad de Aplicaciones (Application security);
Q 6/17 Aspectos de seguridad de servicios de telecomunicaciones ubicuos (Security aspects of
ubiquitous telecommunication services)
Q 7/17 Garantizar servicios de aplicación (Secure application services)
Q 8/17 Servicio de arquitectura orientada a la seguridad ( Service oriented architecture security)
Q 9/17 Telebiometria (Telebiometrics)
En febrero de 2009, el SG17 desarrolló la versión 2.3 del Roadmap3 de seguridad, en donde define
los principales estándares sobre seguridad de las TIC. El citado documento es considerado como
una actividad continua con la intención de publicar las normas que se encuentran en desarrollo y
las que sean publicadas para conocimiento general.
3
El RoadMap (mapa del camino), se usa para comentar el estado actual en el cuál está el desarrollo de los estándares o
recomendaciones de seguridad.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 8 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
9. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
Las principales recomendaciones sobre seguridad realizadas por la UIT se encuentran discriminadas
en el Anexo 1 del presente documento. Así mismo, las recomendaciones de seguridad más
relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos.
2.1.2 International Electrotechnical Commission –IEC
La ISO e IEC hacen parte del sistema especializado para la normalización en todo el mundo. Todos
los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas
internacionales a través de comités técnicos establecidos por la organización para hacer frente a
determinados ámbitos de actividad técnica. Al mismo tiempo, la ISO y la IEC colaboran en los
comités técnicos de los organismos nacionales ejerciendo una colaboración mutua. Así mismo, otras
organizaciones internacionales, gubernamentales y no gubernamentales, aportan al desarrollo de
estándares con la ISO y la IEC,
En el campo de las TIC, la ISO y la IEC han establecido el Comité Técnico Mixto 1 (ISO / IEC JTC
1), que tiene la responsabilidad de la normalización en el ámbito de las TIC. Dentro del mismo, el
subcomité 27 (SC27)4 trata temas relativos a seguridad informática, en áreas tales como técnicas y
mecanismos de seguridad, gestión de la información, tecnologías de la información y la seguridad
de las comunicaciones, apoyo a la gestión de la documentación (incluida la terminología), las
evaluaciones de la conformidad y los criterios de evaluación de las normas de seguridad. Además,
incluye la normalización de algoritmos criptográficos para la integridad, autenticación y servicios de
no repudio.
Las actividades actuales de la SC 27 se dividen en cinco grupos de trabajo, siendo los grupos más
relevantes los siguientes:
Grupo de Trabajo 1: Sistemas de Gestión de Seguridad de la Información
Incluye el desarrollo de ISMS (Information Security Management System) de normas y directrices,
abarcando el desarrollo y la actualización de la norma ISO / IEC 27000 ISMS. Así mismo, contempla
la identificación de las necesidades para el desarrollo de futuras normas y directrices ISMS.
Grupo de Trabajo 2: Criptografía y Mecanismos de Seguridad
Tiene como objetivos de trabajo el desarrollar la terminología, los modelos generales, normas
técnicas y mecanismos para su uso en servicios de seguridad. El ámbito de aplicación abarca la
4
http://www.jtc1sc27.din.de/cmd?level=tpl-home&contextid=jtc1sc27&languageid=en
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 9 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
10. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
confidencialidad, las entidades de autenticación, el manejo de no repudio, la gestión de claves y la
integridad de los datos, tales como mensajes de autenticación y firmas digitales.
Grupo de Trabajo 4: Controles de seguridad y servicios
Abarca el desarrollo y actualización de las normas y directrices sobre los servicios y aplicaciones de
apoyo a la aplicación de los objetivos de control definidos en la norma ISO / IEC 27001. Esto
incluye seguridad de redes TIC (ISO / IEC 18028), gestión de incidentes de seguridad de la
información (ISO / IEC TR 18044), directrices para servicios de recuperación de desastres (ISO /
IEC 24762), selección, despliegue y operación de sistemas de detección de intrusos (Intrusion
Detection Systems IDS) (ISO / IEC 18043) y control de acceso (UIT-T X.841 I ISO / IEC 15816).
Así mismo, contempla aspectos relativos a la identificación de las necesidades para el desarrollo de
futuras directrices, en los ámbitos de la continuidad del negocio o servicio y Ciberseguridad. Las
principales recomendaciones sobre seguridad elaboradas por la ISO/IEC se encuentran listadas en
Anexo 1 del presente documento. Así mismo, las recomendaciones de seguridad más relevantes en
el área de telecomunicaciones serán tratadas en los consiguientes capítulos
2.1.3 Internet Engineering Task Force
La IETF es una comunidad internacional de diseñadores de red, operadores, vendedores e
investigadores interesados en la evolución de la arquitectura de Internet y el buen funcionamiento
de ésta. El trabajo técnico de la IETF se hace en grupos que se organizan por temas en varios
ámbitos. La IETF celebra reuniones tres veces por año.
El Área de Seguridad de la IETF5 se compone de los Directores de Área de Seguridad, que a su vez
son asistidos por un Área de Dirección de Seguridad. La Dirección está integrada por los
presidentes del grupo de trabajo en el Área de Seguridad y un grupo de individuos que actúan
como asesores. El Grupo Asesor de Área de Seguridad es llamado SAAG6, el cual actúa como un
foro abierto para las cuestiones de seguridad.
Los principales grupos de seguridad de las redes son las siguientes:
5
http://sec.ietf.org/
6
http://jis.mit.edu/pipermail/saag.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 10 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
11. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
• IETF X.509 infraestructura de clave pública
• IETF Seguridad en la capa de Transporte (Transport Layer Security (TLS))
• Modelo Integrado de Seguridad para SNMP
• Seguridad en Sistemas de Multidifusion (Multicast Security )
• Perfiles de uso de la PKI (Public Key Infrastructure) en IPSEC (Internet Protocol Security)
• Capas de seguridad
• La Firma Digital XML WG
• Seguridad operacional para la infraestructura de redes IP
2.1.4 The 3rd Generation Partnership Project- 3GPP
3GPP fue establecido en diciembre de 1998 y reúne a una serie de órganos creados en virtud de las
normas de telecomunicaciones, los socios actuales de esta organización son:
• ARIB - Association of Radio Industries and Businesses (Japón)
• CCSA - China Communications Standards Association (China)
• TIA - Telecommunications Industry Association (Norteamérica)
• TTA - Telecommunications Technology Association (Corea del Sur)
• TTC - Telecommunications Technology Committee (Japón)
El objeto principal de 3GPP se centra en realizar especificaciones técnicas aplicables a nivel mundial
enfocadas en sistemas de tercera generación de comunicaciones móviles GSM (3G). El alcance de
3GPP fue posteriormente modificado para incluir la actualización y desarrollo de especificaciones
técnicas dirigidas a sistemas como General Packet Radio Service (GPRS) y Enhanced Data rates for
GSM Evolution (EDGE).
Las principales recomendaciones sobre seguridad realizadas por la 3GPP se encuentran listadas en
el Anexo 1. Las recomendaciones de seguridad más relevantes en el área de telecomunicaciones
serán tratadas en los consiguientes capítulos.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 11 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
12. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
2.1.5 Alliance for Telecommunications Industry Solutions – ATIS-
ATIS es un organismo que se ha comprometido a promover el desarrollo de normas técnicas para
las TIC, creando soluciones que apoyan el despliegue de nuevos productos y servicios en el
mercado de las telecomunicaciones. Sus actividades de normalización en redes alámbricas e
inalámbricas incluyen normas de interconexión, portabilidad numérica, transmisión de datos, VoIP,
fraude en telecomunicaciones, facturación, entre otros. ATIS está acreditada por la American
National Standards Institute (ANSI – Instituto Nacional Americano de Estándares).
Las principales recomendaciones sobre seguridad realizadas por ATIS se encuentran discriminadas
el Anexo 1. Las recomendaciones de seguridad más relevantes en el área de telecomunicaciones
serán tratadas en los consiguientes capítulos.
2.1.6 The European Telecommunications Standards Institute – ETSI-
El Instituto Europeo de Normas de Telecomunicación (ETSI) es una organización independiente, sin
fines de lucro, cuya misión es elaborar normas sobre temas relacionados a las telecomunicaciones,
siendo oficialmente responsable de la normalización de las TIC en Europa. Las principales
recomendaciones sobre seguridad realizadas por ETSI se encuentran discriminadas el Anexo 1. Las
recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en
los consiguientes capítulos.
3. AMENAZAS, VULNERABILIDADES Y MECANISMOS DE SEGURIDAD
En este capítulo se analizan las principales amenazas, los activos7 y las vulnerabilidades de los
principales servicios que prestan las redes de telecomunicaciones. A su vez, se analizan los
diferentes mecanismos de seguridad que son implementados en las mismas con el objeto de limitar
y prevenir ataques y amenazas.
7
Activo: En relacion a la seguridad de la información, se refiera a cualquier información o sistema relacionado con el
tratamiento de la misma que tenga valor con la organización . Según la recomendación ISO/IEC 13335-1:2004, Cualquier
cosa que tiene valor para la organización.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 12 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
13. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
3.1 AMENAZAS
De acuerdo con las recomendaciones internacionales sobre las amenazas cibernéticas, es
recomendable que los encargados de la seguridad en los proveedores de servicios de
telecomunicaciones consideren su red como un recurso al que accederán usuarios que, en general,
no son fiables. Los agresores disponen de numerosas herramientas, técnicas y metodologías para
generar inestabilidad en las redes. Los piratas pueden emplear estas herramientas para lanzar
ataques multinivel con el único objeto de acceder a la red de forma no autorizada. En ocasiones,
los agresores explotarán un punto débil de la seguridad y lanzarán ataques secundarios para dañar
otras partes de la red [5].
En este numeral se describen las principales técnicas, herramientas y metodologías identificadas y
utilizadas por agresores e intrusos para poner en peligro una red.
3.1.1 Amenazas de Autorización
El acceso no autorizado a los recursos de una red suele ser el resultado de una configuración
inadecuada del sistema y de fallos en la utilización. Los agresores pueden acceder ilegalmente
aprovechando la insuficiencia de autenticación y autorización de usuarios y tareas en los sistemas
de empresa, o también descuidos de los empleados [6].
3.1.2 Falsificación IP (IP Spoofing)
La falsificación IP es un ataque complejo que se aprovecha de las relaciones de confianza. El
agresor asume la identidad de un host o servidor fiable a fin de sabotear la seguridad del servidor
objetivo, de tal forma que este último cree que está en comunicación con un servidor confiable. Los
ataques de falsificación IP pueden tener éxito porque resulta sencillo falsificar direcciones IP,
debido a las limitaciones de las técnicas de autenticación de direcciones basadas en la red. Los
ataques de falsificación IP suelen utilizarse como un primer paso para otros ataques, entre otros, la
Negación de servicio (DoS).
3.1.3 Rastreadores de red (Network sniffers)
En un principio, los rastreadores de red se diseñaron como una ayuda para que los gestores de red
pudiesen diagnosticar problemas, realizar análisis o mejorar la calidad de funcionamiento de sus
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 13 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
14. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
redes. Los rastreadores de red trabajan en un segmento que no está conmutado, tales como
aquellos correspondientes a los segmentos conectados a una central. De esta manera, el rastreador
puede ver todo el tráfico de ese segmento.
Los atacantes emplean rastreadores para ver la información de usuario y las contraseñas en los
paquetes en redes públicas o privadas. En general, los agresores pueden utilizar dichos
rastreadores poniendo en peligro la seguridad de la empresa, en la medida que el acceder a la red
de paquetes principal permite al agresor determinar configuraciones y modos de funcionamiento
que puede aprovechar en un futuro.
3.1.4 Denegación de servicio - DoS
Los ataques de denegación de servicio (DoS) tienen por objetivo impedir a los usuarios legítimos de
un servicio que lo utilicen. Pueden interrumpir el funcionamiento de una empresa y desconectarla
del resto del mundo. Los ataques de denegación de servicio distribuidos utilizan recursos de más de
una máquina para lanzar un ataque DoS sincronizado a un determinado recurso. Este tipo de
ataques puede impedir a los usuarios legítimos el acceso a los servidores, aplicaciones web y otros
recursos de red. Los ataques DoS pueden:
• Negar la conectividad de la red a Internet;
• Negar la disponibilidad de un elemento de red a los usuarios legítimos;
• Negar la disponibilidad de aplicación a los usuarios legítimos.
Los ataques DoS explotan los puntos débiles de la arquitectura del sistema atacado. En algunos
casos, se explotan los puntos débiles de muchos protocolos comunes, tales como el protocolo de
mensajes de control Internet (ICMP, Internet control message protocol).
3.1.5 Ataques en Cadena
Los ataques en cadena también se conocen como ataques por intermediario. En este caso, el
agresor intercepta mensajes durante el intercambio de clave pública entre un servidor y un cliente.
El agresor retransmite los mensajes, sustituyendo su clave pública por la solicitada. Los
participantes originales creen que mantienen una comunicación entre ellos. El agresor puede
simplemente acceder a los mensajes o modificarlos. Pueden utilizarse rastreadores de red para
lanzar este tipo de ataques.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 14 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
15. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
3.1.6 Trampas traseras
Las puertas traseras son un método rápido de acceder a los recursos de red, y pueden producirse
así:
• Introducción deliberada en el sistema por sus diseñadores
• Introducción por los empleados para facilitar la realización de sus tareas.
• Instalación normal del sistema operativo, que no se han eliminado mediante fortalecimiento
de las combinaciones ID de usuario/contraseña por defecto para la inscripción.
• Introducción por empleados hostiles para poder acceder después del cierre.
• Creación a través de la ejecución de un código malicioso, como un virus.
3.1.7 Enmascaramiento, Ataques por Respuesta, Modificación de Mensajes
El enmascaramiento consiste en fingir ser personal de mantenimiento o programación válido a fin
de acceder a la red. Por ejemplo, el intruso puede modificar datos relacionados con la gestión de la
configuración y las capas de señalización de la red, así como la facturación y los datos de uso. Los
ataques por respuesta se dan cuando se repite un mensaje, o parte del mismo, para obtener un
efecto no autorizado. Por ejemplo, una entidad8 responde un mensaje válido con información de
autenticación para autenticarse.
La modificación de mensajes ocurre cuando el contenido de una transmisión de datos se altera sin
que se detecte y causa un efecto no autorizado.
3.1.8 Ataques desde el Interior
Los ataques desde el interior ocurren cuando usuarios legítimos de un sistema se comportan de
manera imprevista o no autorizada. Muchos de los delitos informáticos conocidos cuentan con la
participación de usuarios internos que ponen en peligro la seguridad del sistema. Se pueden reducir
los riesgos de ataques desde el interior escogiendo cuidadosamente al personal y llevando a cabo
una vigilancia constante del hardware, el software y la política de seguridad.
8
Según la UIT una entidad puede ser: 1) Un ser humano, una organización, un componente de hardware o un software. 2)
Cualquier cosa concreta o abstracta de interés. Aunque en general la palabra entidad puede ser utilizado para referirse a
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 15 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
16. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
4. AMENAZAS Y MECANISMOS DE SEGURIDAD EN LAS CAPAS OSI
En este capítulo se describirán de forma general los servicios de seguridad y mecanismos
relacionados, que pueden ser proporcionados al modelo OSI9 y, a su vez, se definirán las posiciones
o ubicaciones dentro de las capas del modelo OSI, en que pueden proporcionarse los mismos.
La norma ISO 7498-2, relativa a la Arquitectura de Comunicaciones para la Interconexión de
Sistemas Abiertos OSI, trata la arquitectura de seguridad de este modelo de referencia, planteando
sistemáticamente el conjunto de procedimientos, servicios y mecanismos de salvaguarda necesarios
para proteger los datos durante su transmisión [7].
Para ello incluye una descripción general de los servicios y mecanismos de seguridad que puede
proporcionar el modelo y en cuáles de sus siete niveles pueden ofrecerse. Existen tres conceptos
fundamentales que se interconectan en la arquitectura de seguridad OSI:
1. Amenazas.
2. Servicios
3. Mecanismos de Seguridad.
Cada uno de estos elementos se analiza en las siguientes secciones.
4.1 AMENAZAS CONTRA LA SEGURIDAD
De acuerdo a la recomendación UIT X.80010 y la norma ISO 7498-211 , las principales amenazas
contra un sistema de comunicación de datos son las siguientes:
a) Destrucción de información y/o de otros recursos;
b) Corrupción o modificación de información;
c) Robo, supresión o pérdida de información y/o de otros recursos;
cualquier cosa, en el contexto de la modelización que se reserva para referirse a cosas en el universo de discurso que se
inspira.
9
El Modelo OSI es un lineamiento funcional para tareas de comunicaciones que contiene 7 niveles o capas, Nivel Físico,
Nivel Enlace de Datos, Nivel de Red, Nivel de Transporte, Nivel Sesión, Nivel Presentación, Nivel Aplicación.
10
Recomendación UIT-T X.800 Arquitectura de seguridad de la interconexión de sistemas abiertos
11
ISO 7498-2. Tratamiento de la información - Interconexión de Sistemas Abiertos - Modelo Básico
de Referencia. Parte 2: Arquitectura de Seguridad.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 16 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
17. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
d) Revelación de información;
e) Interrupción de servicios.
Existen varios tipos de amenazas discriminadas por su intención, las cuales pueden ser clasificadas
en amenazas accidentales o amenazas intencionales, las cuales a su vez pueden ser activas o
pasivas [8].
4.1.1. Amenazas accidentales
Las amenazas accidentales son las que existen sin que haya premeditación. Algunos ejemplos de
este tipo de amenazas son:
• Fallos del sistema
• Equivocaciones en la operación
• Errores en los programas.
4.1.2 Amenazas intencionales
Las amenazas intencionales pueden ir desde el empleo de instrumentos de monitoreo, hasta
ataques sofisticados con un conocimiento especial del sistema.
4.1.3 Amenazas pasivas
Las amenazas pasivas son las que, si se concretan, no producirían ninguna modificación de las
informaciones contenidas en los sistemas y que no modifican el funcionamiento ni el estado de los
mismos. La interceptación para observar informaciones transmitidas por una línea de
comunicaciones es una forma de concretar una amenaza pasiva.
4.1.4 Amenazas activas
Las amenazas activas contra un sistema conllevan la alteración de información contenida en el
mismo, o las modificaciones de su estado u operación. La modificación maliciosa de las tablas de
encaminamiento de un sistema por un usuario no autorizado es un ejemplo de amenaza activa.
4.1.5 Tipos específicos de ataque
Usurpación de identidad
La usurpación de identidad tiene lugar cuando una entidad o persona se hace pasar por otra. Se
utiliza generalmente con otras formas de ataque activo, especialmente la reproducción y la
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 17 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
18. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
modificación de los mensajes. Una entidad autorizada que tiene pocos privilegios dentro del sistema
OSI puede usurpar la identidad de otra para obtener privilegios suplementarios de otra entidad que
tiene estos privilegios.
Negación de servicio
La negación de servicio se produce cuando una entidad o persona no cumple su función propia o
actúa de manera que impide a otras entidades cumplir sus funciones propias. El ataque puede ser
general, o bien el ataque puede tener un objetivo específico.
Ataques del interior
Los ataques del interior se producen cuando los usuarios legítimos de un sistema se comportan de
manera imprevista o no autorizada. La mayor parte de los delitos conocidos en que han intervenido
computadores son cometidos por ataques del interior que han comprometido la seguridad del
sistema.
Ataques del exterior
Los ataques del exterior pueden utilizar las técnicas siguientes:
a) Interceptación (activa y pasiva);
b) Interceptación de emisiones;
c) Usurpación de la identidad de usuarios autorizados del sistema o de componentes del sistema;
d) Contorneo de los mecanismos de autenticación o de control de acceso.
Caballo de Troya
Un “Caballo de Troya” es un programa introducido en el sistema con una doble función, la función
autorizada o función por la cual fue creado y, además, la función ilícita o función no autorizada que
genera un conflicto en cualquier capa del sistema OSI.
4.2 SERVICIOS DE SEGURIDAD
Los servicios de seguridad descritos por la recomendación UIT X.80012 y la norma ISO 7498-213 son
servicios de seguridad básicos. Estos servicios se implementan en las capas OSI con el objeto de
12
Recomendación X.800 Arquitectura de seguridad de la interconexión de sistemas abiertos
13
ISO 7498-2. Tratamiento de la información - Interconexión de Sistemas Abiertos - Modelo Básico de Referencia. Parte 2:
Arquitectura de Seguridad.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 18 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
19. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
satisfacer la política de seguridad y/o las exigencias de los usuarios. Los servicios de autenticación
requieren información almacenada localmente y datos que se transfieren con el objeto de facilitar la
misma.
4.2.1 Servicio de Autenticación
Este servicio proporciona seguridad entre comunicaciones de las capas, y corrobora la capa con la
cual se debe realizar la comunicación. Este servicio no proporciona protección contra la duplicación
o modificación de las unidades de datos.
4.2.2 Control de acceso
Este servicio proporciona protección contra el uso no autorizado de recursos accesibles, y puede
aplicarse a diversos tipos de acceso a un recurso, o a todos los accesos al mismo.
4.2.3 Confidencialidad de los datos
Estos servicios proporcionan la protección de los datos contra la revelación no autorizada, y puede
ser en modo con conexión o sin conexión.
4.2.4 Confidencialidad del flujo de tráfico
Este servicio proporciona la protección de la información que pudiera derivarse de la observación de
los flujos de tráfico.
4.2.5 Integridad de los datos
Estos servicios contrarrestan las amenazas activas detectando la duplicación de datos o cualquier
modificación, inserción, supresión o reproducción de un dato específico.
4.2.6 No repudio
Este servicio proporciona al destinatario de los datos la prueba del origen de los datos. Esto lo
protegerá contra cualquier tentativa del expedidor de negar que ha enviado los datos o su
contenido: por otra parte, se proporciona a quien envía los datos la prueba de la entrega de los
mismos. Esto lo protegerá contra cualquier tentativa posterior del destinatario de negar que haya
recibido los datos o su contenido.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 19 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
20. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
4.3 MECANISMOS DE SEGURIDAD
Los principales mecanismos de seguridad pueden ser incorporados en una determinada capa OSI y
su objeto es el de proporcionar algunos de los servicios descritos en la sección anterior [8].
4.3.1 Cifrado
El cifrado puede proporcionar la confidencialidad de la información de datos o del flujo de tráfico, y
puede desempeñar una función en otros mecanismos de seguridad o complementarlos.
4.3.2 Mecanismos de firma digital
Estos mecanismos definen dos procedimientos:
a) Firma de una unidad de datos; y
b) Verificación de una unidad de datos firmada.
El primer proceso utiliza información que es privada (es decir, única y confidencial) del firmante. El
segundo proceso utiliza procedimientos de información que están disponibles públicamente, pero a
partir de los cuales no puede deducirse cuál es la información privada del firmante.
4.3.3 Mecanismos de control de acceso
Estos mecanismos pueden utilizar la identidad autenticada de una entidad o información sobre la
entidad (tal como la lista de miembros de un conjunto conocido de entidades) o capacidades de la
misma, para determinar y aplicar los derechos de acceso de la entidad. Si la entidad intenta utilizar
un recurso no autorizado, o bien uno de éstos con un tipo impropio de acceso, la función de control
de acceso rechazará la tentativa y puede informar además el incidente, a efectos de generar una
alarma y/o anotarlo en el registro de auditoría de seguridad.
4.3.4 Mecanismos de integridad de los datos
La integridad de los datos tiene dos aspectos: la integridad de una sola unidad de datos o de un
solo campo, y la integridad de un tren de unidades de datos o de campos de unidad de datos. En
general, se utilizan diferentes mecanismos para proporcionar estos dos tipos de servicios de
integridad, aunque no es práctica la provisión del segundo sin el primero.
4.3.5 Mecanismo de intercambio de autentificación
Algunas de las técnicas que pueden aplicarse a los intercambios de autenticación son:
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 20 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
21. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
a) utilización de información de autenticación, como contraseñas, suministradas por una entidad
expedidora y verificadas, por la entidad receptora;
b) técnicas criptográficas; y
c) uso de características y/o propiedades de la entidad.
4.3.6 Mecanismo de relleno de tráfico
Pueden utilizarse mecanismos de relleno de tráfico para proporcionar diversos niveles de protección
contra análisis del tráfico. Este mecanismo puede ser eficaz solamente si el relleno de tráfico está
protegido por un servicio de confidencialidad.
4.3.7 Mecanismo de control de encaminamiento
Las rutas pueden elegirse dinámicamente o por acuerdo previo con el fin de utilizar sólo subredes,
relevadores o enlaces físicamente seguros. Al detectar ataques de manipulación persistentes, los
sistemas extremos pueden dar instrucciones al proveedor del servicio de red que establezca una
conexión por una ruta diferente.
4.3.8 Mecanismo de notarización
Pueden garantizarse las propiedades sobre los datos comunicados entre dos o más entidades, tales
como su integridad, origen, fecha y destino, mediante la provisión de un mecanismo de
notarización. La seguridad es proporcionada por una tercera parte que actúa como notario, en el
que las entidades comunicantes tienen confianza y que mantiene la información necesaria para
proporcionar la garantía requerida de una manera verificable.
La tabla 1 relaciona los diferentes servicios de seguridad y en que capa del modelo OSI pueden ser
implementados (tabla 1)
CAPAS OSI
CAPA 2
CAPA 1 CAPA 3 CAPA 4 CAPA 5 CAPA 6 CAPA 7
SERVICIOS ENLACE DE
FÍSICA RED TRANSPORTE SESIÓN PRESENTACIÓN APLICACIÓN
DATOS
AUTENTICACIÓN
CONTROL DE ACCESO
CONFIDENCIALIDAD
INTEGRIDAD
NO REPUDIO
Tabla 1. Relación de Servicios de seguridad y las capas OSI
Fuente: Recomendación X.800 de la UIT
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 21 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
22. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
5. SEGURIDAD EN LAS REDES MÓVILES
A partir de los lineamientos generales expuestos en las secciones anteriores, en este capítulo se
describen las amenazas contra la seguridad en las comunicaciones móviles de datos de extremo a
extremo y los requisitos de seguridad en relación con el usuario móvil y el proveedor de servicio.
Así mismo, se describen técnicas de seguridad en los modelos aplicables a este tipo de
comunicaciones.
5.1 AMENAZAS Y MECANISMOS DE SEGURIDAD EN REDES MÓVILES
Hoy en día los terminales móviles tienen la capacidad de comunicación de datos y están surgiendo
nuevos servicios de aplicación como el comercio electrónico móvil. La seguridad es necesaria,
incluso esencial, en el entorno del comercio electrónico.
En el contexto de la seguridad de las comunicaciones móviles desde el punto de vista del usuario y
del ASP, (application service provider), uno de los aspectos más importantes es la seguridad de las
comunicaciones móviles de datos de extremo a extremo entre un terminal móvil y un servidor de
aplicación.
Para llevar a cabo las funciones de seguridad, se utilizan diversas tecnologías para comunicaciones
móviles de datos de extremo a extremo. Éstas se clasifican según la función de seguridad
efectuada por la respectiva tecnología y dónde se aplica la misma. Los lugares en los que se aplican
dichas tecnologías de seguridad señalan entidades o relaciones entre entidades [7]. La
Recomendación UIT-T X.1121 describe dónde aparecen las amenazas de seguridad en modelos de
comunicaciones móviles de datos de extremo a extremo. Además, describe los requisitos que se
aplican como medida preventiva para una determinada amenaza, y las funciones que satisfacen los
requisitos de seguridad [9].
Una determinada tecnología de seguridad móvil puede ejecutar sólo una parte de las funciones de
seguridad o ser aplicada a un lugar específico. Por ejemplo, se puede utilizar el algoritmo
criptográfico o tecnologías de autenticación biométrica para realizar la función de intercambio de
autenticación en la relación entre el usuario y un terminal móvil. La tecnología PKI (infraestructura
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 22 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
23. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
de clave pública) se puede utilizar para efectuar todas las funciones de seguridad en las relaciones
entre terminal móvil y servidor, terminal móvil y pasarela de seguridad móvil, y servidor y pasarela
de seguridad móvil.
En la Rec. UIT-T X.1121 se definen dos tipos de modelos de seguridad para el marco de las
comunicaciones móviles de datos de extremo a extremo entre un usuario móvil y un ASP: el
modelo general (figura 1) y el modelo de pasarela (figura 2). Un usuario móvil utiliza el terminal
móvil para acceder a diversos servicios móviles de los ASP. Un ASP proporciona servicios móviles a
los usuarios móviles a través de un servidor de aplicación. La pasarela de seguridad del servicio
móvil retransmite paquetes de los terminales móviles al servidor de aplicación, transforma un
protocolo de comunicaciones de red móvil en un protocolo de red abierta y viceversa.
Comunicación de datos
Terminal Servidor de
móvil aplicación
(Usuario (ASP)
móvil) Red móvil Red abierta
Figura 1. Modelo general de comunicación de datos de extremo a extremo entre un usuario y un ASP
Fuente Rec. UIT X.1121
Comunicación Comunicación
de datos de datos
Terminal Servidor de
móvil aplicación
(Usuario Pasarela (ASP)
móvil) Red de Red
móvil seguridad abierta
Figura 2 – Modelo de pasarela para las comunicaciones móviles de datos de extremo a extremo entre un
usuario móvil y un ASP
Fuente Rec. UIT X.1121
Dentro de las amenazas de seguridad que pueden afectar las comunicaciones móviles y los
requisitos de seguridad desde el punto de vista del usuario móvil y del ASP, existen dos tipos de
amenazas: la general de todas las redes abiertas, y otra específica a las comunicaciones móviles.
Las amenazas que pueden afectar la red de comunicaciones móviles de datos de extremo a
extremo se muestran en la figura 3.
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 23 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
24. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
Figura 3 – Amenazas para las comunicaciones móviles
Fuente Rec. UIT X.1121
Los puntos en donde deben ser situados los mecanismos de seguridad, se pueden observar en la
figura 4.
Usuario
móvil Red Red
Pasarela Servidor de aplicación
Terminal móvil móvil abierta
de seguridad
• Intercambio de • Cifrado • Cifrado • Cifrado
autenticación • Intercambio de claves • Intercambio de claves • Intercambio de claves
• Control de acceso • Firma digital • Firma digital • Firma digital
• Control de acceso • Control de acceso • Control de acceso
• Integridad de los datos • Integridad de los datos • Integridad de los datos
• Intercambio de • Intercambio de • Intercambio de
autenticación autenticación autenticación
• Atestación
Figura 4 –Mecanismos de seguridad requeridas para cada entidad y relación entre entidades
Fuente Rec. UIT X.1121
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 24 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
25. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
Por su parte, la Recomendación UIT-T X.1122 describe directrices para la construcción de sistemas
móviles seguros basados en la tecnología PKI, la cual es de gran utilidad en la medida que permite
realizar un gran número de funciones de seguridad (cifrado, firma digital, integridad de datos, etc.)
en las comunicaciones móviles de datos extremo a extremo, pero a la vez es necesario adaptarla
para su uso en las comunicaciones móviles de datos extremo a extremo [9].
La Tabla 2 muestra la relación entre los requisitos de seguridad y las funciones descritas en la
recomendación citada.
Tabla 2. Requisitos de seguridad y las funciones en las comunicaciones móviles
Fuente. Recomendación X.1121
La Rec. UIT X.1122 define dos modelos de PKI para proporcionar servicios de seguridad a las
comunicaciones móviles. El modelo PKI general que no incluye funciones de pasarela de seguridad
en las comunicaciones de datos móviles de extremo a extremo, y el modelo PKI de pasarela, donde
hay una pasarela de seguridad que conecta la red móvil con la red abierta.
En la figura 5 se muestra el modelo PKI general para las comunicaciones móviles de extremo a
extremo. La Autoridad de Certificación o CA usuario móvil expide un certificado a este usuario y
gestiona un registro donde se almacena la lista de revocación de certificados (CRL, revocation bit)
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 25 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
26. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
que ya ha expedido la CA. La Autoridad de Validación o VA de usuario móvil (VA, validation
authority) proporciona un servicio de validación de certificados en línea para los usuarios móviles.
La CA del ASP expide un certificado al proveedor de servicios de aplicación y gestiona un registro
donde se almacena la lista de revocación de certificados que ya ha expedido la CA del ASP. La
autoridad de validación del ASP proporciona un servicio de validación de certificados en línea para
los certificados de ASP.
CA del usuario Registro CA del ASP
móvil CA&RA
CA
RA Registro
VA del usuario móvil VA del ASP
Terminal Servidor de
móvil aplicación
(Usuario (ASP)
móvil) Red móvil Red abierta
Figura 5 – Modelo PKI general para las comunicaciones móviles
Fuente. Recomendación X.1122
Hay dos métodos de expedición de certificados, dependiendo de la entidad que genera las claves
públicas/privadas. En el primero, la fábrica del terminal móvil genera y fabrica un par de claves
criptográficas; en el otro método, el par de claves criptográficas las genera el terminal móvil o una
llave protegida contra falsificaciones, por ejemplo una tarjeta inteligente anexa al terminal móvil
(figura 6).
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 26 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
27. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
Fábrica
CA del usuario
Registro
CA
5
Distribuidor
del dispositivo
(RA)
5
4
Registro
1 VA del usuario
móvil
6 RA
2
3
Terminal móvil
(usuario) Servidor
del ASP
Red móvil Red abierta
1 El usuario ordena la compra de un 4 Aplicación del certificado
dipositivo
2 Generación de claves 5 Almacenamiento y expedición del certificado
3 Aplicación del certificado 6 Expedición del certificado
Figura 6- Expedición de certificados por terminal móvil
Fuente. Recomendación X.1122
6. DEFINICIONES
La terminología y las definiciones son claves en el desarrollo de una norma de seguridad. Es
esencial que los términos utilizados deban ser claros e inequívocos. Una serie de glosarios de
seguridad desarrollados por el Grupo de Estudio 17 de la UIT-T insta a que los expertos que
participan en el desarrollo de utilizar las definiciones de estos glosarios siempre que sea posible. A
continuación se describen los principales glosarios en temas de seguridad de las TIC.
Existen varios glosarios de definiciones realizados por entes normalizadores, siendo los más
importantes los siguientes:
• La UIT-T realizó una recopilación denominada “Compendium of ITU-T approved security
definitions extracted from ITU-T recommendations”14
• La ISO realizó dos glosarios, el primero denominado “ISO/IEC JTC 1/SC 27 Terminology “15
y el segundo comprendido en el documento “ISO/IEC JTC1 SC 37 Harmonized Biometric
Vocabulary “16 que contiene una lista de definiciones relacionados con biometría.
• La RFC suministró un glosario que ofrece definiciones, abreviaturas, y explicaciones de la
terminología para la seguridad de sistemas de información. (Internet Security Glossary17)
14
Tomado de la pagina Web de la UIT: http://www.itu.int/dms_pub/itu-t/oth/0A/0D/T0A0D00000A0002MSWE.doc
15
Tomado de la pagina Web de la ISO: http://www.jtc1sc27.din.de/sce/SD6
16
Tomado de la pagina Web de la ISO: http://isotc.iso.org/livelink/livelink/6714484/JTC001-SC37-N-
SD_2_version_8.pdf?func=doc.Fetch&nodeid=6714484
17
Tomado de la pagina Web de la RFC: http://www.rfc-editor.org/rfc/rfc4949.txt
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 27 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
28. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
• La ETSI entregó el glosario de terminología de seguridad ETR 232 “ETSI Glossary of
security terminology ETR 232”18
A continuación se describiran definiciones que han sido tratadas por los entes normalizadores antes
descritos y que son relevantes en el tema de ciberseguridad.
TERMINO DEFINICION REFERENCIA
Causa potencial de un incidente no deseado, el cual puede causar el ISO/IEC 13335-1:2004
daño a un sistema o la organización. UIT
1) 3.3.55/X.800
1) Amenaza de una alteración deliberada y no autorizada de la
información que figura en el sistema, o del estado del sistema.
Amenaza Nota – Ejemplos de amenazas activas relativas a la seguridad: la
modificación de mensajes, la reproducción de mensajes, la
inserción de mensajes espurios, la usurpación de identidad (o
impostura) de una entidad autorizada, la de negación de servicio,
la modificación malintencionada de los cuadros de encaminamiento
de un sistema por un usuario no autorizado.
Actividades realizadas para obviar los mecanismos de seguridad de UIT
un sistema o aprovechar sus deficiencias. Los ataques directos a un 3.4/H.235
sistema aprovechan las deficiencias en los algoritmos, principios o
Ataque propiedades subyacentes de un mecanismo de seguridad. Los
ataques indirectos obvian el mecanismo, o hacen que el sistema
utilice el mecanismo incorrectamente.
1) El proceso de verificación de una identidad. Nota – Véase UIT
entidad principal y verificador y las dos formas de autenticación 1) X.811
distintas (autenticación de origen de datos y autenticación de
entidad). La autenticación puede ser unilateral o mutua. La
autenticación unilateral garantiza la identidad de una sola entidad
principal. La autenticación mutua garantiza las identidades de
ambas entidades principales.
2) Confirmación de la identidad con que se presenta una entidad.
3) Véase autenticación del origen de datos y autenticación de 2) X.811
entidad par. El término autenticación no se emplea en relación con 3) X.800
Autenticación la integridad de los datos; para ello se emplea el término integridad
de datos.
4) La confirmación de la identidad de objetos cuando se va a crear 4) X.217
una asociación. Por ejemplo, las AE, AP, y los usuarios humanos de
aplicaciones. Nota – Este término se ha definido así para establecer
que se trata de un marco de autenticación más amplio que la
autenticación de entidades pares de la Rec. CCITT X.800.
5) Proceso de verificación de la identidad que presenta de una 5) J.170
entidad ante otra entidad. 6) J.93
6)Proceso destinado a permitir al sistema asegurar la identificación
de una parte.
1. Atribución de derechos, incluido el acceso basado en los UIT
correspondientes derechos. Nota – Esta definición implica la 1) X.800
Autorización concesión de permisos para realizar determinadas actividades
(por ejemplo, acceder a datos) y su relación con determinados
procesos, entidades o agentes humanos.
18
Tomado de la pagina Web de la ETSI: http://webapp.etsi.org/WorkProgram/Expert/QueryForm.asp
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 28 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
29. COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA
TERMINO DEFINICION REFERENCIA
2. Concesión de permisos sobre la base de identificación 2) H.235
autenticada. 3) J.170
3. Concesión de acceso a un servicio o dispositivo cuando se tiene
el permiso para utilizarlo.
El caballo de troya introducido en el sistema tiene una función no UIT
autorizada, además de su función autorizada. Un relevador que A.2.5.8/X.800
Caballo de Troya también copia mensajes destinados a un canal no autorizado es un
caballo de troya.
(Malicious Code, Malware): Cubre virus, gusanos, y Troyanos ISO 27000
electrónicos. Se pueden distribuir a través de varios métodos
Código malicioso incluyendo el email, Web site, Shareware / freeware y de otros
medios tales como material promocional.
(Inglés: Confidenciality). Acceso a la información por parte ISO/IEC 13335-1:2004,
únicamente de quienes estén autorizados. Según [ISO/IEC 13335- ISO 27000
1:2004]:" característica/propiedad por la que la información no
está disponible o revelada a individuos, entidades, o procesos no
Confidencialidad autorizados.
UIT:
1) Propiedad que garantiza que la información no se pone a 1) 3.3.16/X.800
disposición ni se divulga a personas, entidades o procesos no
autorizados.
Disciplina que abarca los principios, medios y métodos para la UIT
transformación de los datos con el fin de esconder su contenido de 3.3.20/X.800
información, impedir su modificación no detectada y/o su uso no
Criptografía autorizado. Nota – La criptografía determina los métodos utilizados
para cifrar y descifrar. El criptoanálisis es un ataque destinado a
vencer los principios, medios y métodos criptográficos.
El conjunto de herramientas, políticas, conceptos de seguridad, UIT
salvaguardas de seguridad, directrices, métodos de gestión de 3.2.5/X.1205
riesgos, acciones, formación, prácticas idóneas, seguros y
tecnologías que pueden utilizarse para proteger los activos de la
organización y los usuarios en el ciberentorno. Los activos de la
organización y los usuarios son los dispositivos informáticos
Ciberseguridad conectados, los usuarios, los servicios/aplicaciones, los sistemas de
comunicaciones, las comunicaciones multimedios, y la totalidad de
la información transmitida y/o almacenada en el ciberentorno. La
ciberseguridad garantiza que se alcancen y mantengan las
propiedades de seguridad de los activos de la organización y los
usuarios contra los riesgos de seguridad correspondientes en el
ciberentorno.
(Inglés: Availability). Acceso a la información y los sistemas de ISO/IEC 13335-1:2004,
tratamiento de la misma por parte de los usuarios autorizados ISO 27000
cuando lo requieran.
Disponibilidad Según [ISO/IEC 13335-1:2004]: característica o propiedad de
permanecer accesible y disponible para su uso cuando lo requiera
una entidad autorizada
1. Método utilizado para traducir información en texto legible UIT:
a texto cifrado (criptograma). 1) 3(12)/J.170
Encriptación 2. Proceso de aleatorización de señales con el fin de evitar el 2) 3.9/J.93
acceso no autorizado..
1. Ser humano, organización, elemento de equipos UIT:
Entidad informáticos o un programa informático. 1) 3/X.842
2. Cualquier cosa de interés concreta o abstracta. Si bien en 2) 6.1/X.902
Documento Soporte Centro de Conocimiento del Negocio
Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09
Página 29 de 60
Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09