Walter Arias Hidalgo
Colaborador / Semilleros
La seguridad informática se ha convertido en uno de los puntos clave para mantener el orden en el ciberespacio, ámbito de comunicación mediado por redes informáticas en el que ocurren cada vez más delitos. Según un estudio de la empresa de seguridad informática Symantec, unos 6’000.000 de colombianos fueron víctimas del cibercrimen en 2013.
Conscientes de la importancia de la seguridad informática y de especializarse cada vez más en este tema, un grupo de profesores y estudiantes del Departamento de Ingeniería de Sistemas de EAFIT está configurando formalmente el primer semillero de seguridad informática de la Universidad. Es muy probable que a partir del segundo semestre de 2014 este grupo comience a trabajar con el marco de semillero.
Por el momento ya están trazados los objetivos: formar personas en seguridad informática para suplir la necesidad de más profesionales especialistas en este tema, divulgar el conocimiento entre personas no especializadas y producir informes de carácter científico.
¿Por qué es tan importante que cada vez haya más especialistas en este tema? “Porque la seguridad informática es transversal a todas las áreas”, responde Juan David Pineda Cárdenas, docente y coordinador técnico del Centro de Computación Científica Apolo de EAFIT. Lo dicho por él abarca los ámbitos individuales, empresariales y de Estado. Así, por ejemplo, en todas las empresas –dice Pineda– debería haber una unidad de seguridad informática porque eso afecta el corazón del negocio.
Además, como siempre habrá alguien pensando cómo vulnerar las reglas o quebrantar las leyes –al igual que en los demás ámbitos de la vida cotidiana–, será necesario que haya otro grupo de personas buscando cómo proteger esas normas.
Líneas de trabajo
El grupo de trabajo profundiza en técnicas. Una es denominada Pentesting (pruebas de penetración), método que permite evaluar la seguridad de equipos y redes de cómputo, detectar grietas o fallas y determinar cómo prevenirlas. Para lograrlo, los integrantes del grupo emulan, en una compañía virtual, cada una de las fases que haría un potencial atacante informático y así encontrar métodos para prevenirlos.
EDivulgar conocimiento sobre seguridad informática es uno de los objetivos más sólidos del grupo. En un lenguaje sencillo hablan de temas que tocan a cualquier persona.
Otra línea de estudio es la criptografía (arte y ciencia de escribir y de descifrar códigos), técnica que estudia cómo ocultar los datos o codificar mensajes para que solo los autores o interesados puedan acceder a la información y evitar así posibles interceptaciones. “La criptografía es como un candado que solo yo sé cómo abrir”, explica Anderson López Monsalve, estudiante de octavo semestre y quien está en el grupo desde el segundo.
Una más es la esteganografía, técnica para ocultar información mediante mensajes u objetos, denominados contenedores, los que, en principio y a simple vista, sirven para que la información pase inadvertida ante posibles intrusos y solo pueda ser recuperada por un usuario autorizado. Por ejemplo: información oculta en una imagen, un video o un archivo de audio, entre otros.
Otra línea de trabajo es la informática forense, técnica que se basa en los mismos principios de la investigación criminalística porque también se trata de identificar y preservar datos para aportar en un proceso legal. Por esto, para determinar, por ejemplo, si en el proceso de reconstrucción y rastreo hubo robo de información o contraseñas, es necesario guardar una cadena de custodia. Es decir, saber preservar la información desde el hallazgo hasta que esté en manos de los especialistas.
Capacitan sobre riesgos
Divulgar conocimiento sobre seguridad informática es uno de los objetivos más sólidos del grupo. En un lenguaje sencillo hablan de temas que tocan a cualquier persona. Por ejemplo, advierten sobre los riesgos de publicar datos personales en redes sociales y de no borrar adecuadamente los contenidos de dispositivos como discos duros y memorias.
Explican que en el primer caso hay técnicas para descubrir toda la información de una persona, incluso la más oculta, y que en el segundo es posible recuperar la información y extraer de allí cuentas bancarias, cuentas de correo y otro tipo de información. }
En esas charlas le preguntan al líder del equipo Pablo Restrepo, estudiante de octavo semestre y quien está en el grupo desde el segundo, cuál es el mejor antivirus. “El mejor antivirus es usted”, responde Pablo. “Si usted tiene prácticas de navegación segura es muy difícil que le comprometan su información”. Dichas prácticas se refieren a no acceder o interactuar con sitios que no tengan una buena reputación o que no sean conocidos y que, de una u otra manera, puedan aprovechar vulnerabilidades en los sistemas del usuario e infectarlo con diferentes clases de malware (software malicioso).
Pablo, además, cuenta la historia real de un robo de 10 millones de pesos por medio de un correo electrónico. Narra que a un hombre le llegó un mensaje con un asunto muy sugestivo, que lo invitaba a abrir el correo para que viera las fotos que evidenciaban la infidelidad de la esposa. Pablo cree que en el adjunto pudo llegar un troyano (software malicioso que parece un programa inofensivo), lo que le permitió al intruso tener acceso al computador remoto. O un keylogger, software que registra toda la actividad del teclado y luego las envía al interesado.
Pablo, Anderson y los demás integrantes del grupo enfatizan en la ingeniería social, que es la búsqueda de información fuera de línea con el propósito de causar daños posteriores: llamadas maliciosas, datos en la basura, “cosas muy sencillas que no necesitan un computador, pero requieren ciertas habilidades interpersonales del atacante, capacidad de generar confiaza en los demás, carisma”, dice Anderson.
“Es mucho más fácil comprometer una organización si me gano la confianza de una persona y logro que me dé una contraseña que ponerme a buscar vulnerabilidad en los servidores”, agrega Pablo.
Ética y normatividad
El otro objetivo del semillero naciente es hacer producción científica, con el apoyo de los profesores Juan David Pineda y Juan Guillermo Lalinde. En este punto, Pablo y Anderson dicen que el semillero les permitirá profundizar en la elaboración de informes científicos porque hasta ahora no habían sentido esa necesidad.
Estos objetivos y su trabajo en general están respaldados en unos principios éticos a toda prueba. Cada integrante del grupo sabe que los ataques informáticos solo son permitidos en ambientes de prueba y a manera de laboratorio, como una forma de saber cómo actuaría alguien que quiera vulnerar un sistema. “Muchas veces para defenderte debes entender cuál es la vulnerabilidad”, dice Juan David Pineda.
Los integrantes del grupo también estudian sobre los asuntos éticos y normativos, por ejemplo, la Ley 1273 de 2009 (Ley de Delitos Informáticos en Colombia), creada el 5 de enero de 2009.
Relacionado con su tema de estudio, esta norma en su Artículo 269, sobre “Violación de datos personales”, observa: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
Con los objetivos trazados, las líneas de trabajo definidas, una conciencia ética sólida y un conocimiento del marco legal, el grupo se siente fortalecido para arrancar bajo la figura de semillero y profundizar más en la cultura de seguridad informá- tica, pensar en proyectos para reducir la vulnerabilidad en sistemas, identificar y evaluar situaciones de riesgo… En fin, aprender más metodologías y herramientas. Además, ya son cerca de 15 años recorridos como grupo de estudio.
Los pioneros fueron Juan David Pineda y Carlos Urrego, en ese entonces estudiantes de Ingeniería de Sistemas, y el profesor Juan Guillermo Lalinde, quien se especializó en el tema. “Básicamente era un grupo de gomosos con ganas de programar y entender cuáles eran esas pequeñas grietas que podían causar daños y cómo protegerse ante ellas”, recuerda Juan David.
Ahora van camino a conformar un semillero dedicado a estudiar uno de los asuntos más importantes en la era de las tecnologías y las comunicaciones: la seguridad informática.
Un plus para la formación profesional
El grupo de estudio en seguridad informática está conformado por un equipo base de siete estudiantes y es liderado por el profesor Juan David Pineda. Los estudiantes Pablo Restrepo Henao y Anderson López Monsalve coinciden en que el grupo ha sido un plus en su formación profesional. “Podés ser bueno sin conocer de esto, pero deberías conocerlo”, dice Anderson.
Pablo agrega que el grupo ha sido muy importante porque allí estudian temas que no se tocan de manera tan explícita en la carrera. “La mayoría de gente no sabe qué es criptografía, estenografía, informática forense… Yo pienso que es el principio de una formación necesaria en el medio”.
Para los del grupo es claro que están haciendo un aporte a la carrera, a la Universidad y al contexto local y nacional. Juan David Pineda dice que en Colombia hace falta más formación en seguridad informática y concientización sobre este tema.
Investigadores
Juan Guillermo Lalinde Pulido
Ingeniero de Sistemas, Universidad EAFIT; matemático, Universidad Nacional, y PhD en Telecomunicaciones, Universidad Politécnica de Valencia, España. Es profesor titular de la Universidad EAFIT desde hace 18 años. Ha sido jefe del Departamento de Ingeniería de Sistemas, jefe del programa de Ingeniería de Sistemas, miembro del Comité de Doctorado de la Universidad EAFIT y consejero del programa ETI de Colciencias. Actualmente es el director del Centro de Computación Científica Apolo de la Universidad EAFIT.
Más información sobre el investigador
Juan David Pineda Cárdenas
Ingeniero de Sistemas de la Universidad EAFIT y candidato a magíster en Seguridad de las Tecnologías de la Información y las Telecomunicaciones de la Universidad Oberta de Cataluña. En EAFIT ha sido profesor del diplomado en Seguridad de la Información, es profesor de la materia programación de computadores, coordina el grupo de interés de seguridad informática y actualmente es el director técnico del Centro de Computación Científica Apolo. Se ha desempeñado en el área de la seguridad informática, desarrollo y administración de redes.
Más información sobre el investigador