Un componente crítico de nuestros sistemas de telecomunicaciones e información

El Sector de Normalización de las Telecomunicaciones de la UIT (UIT–T) organiza periódicamente cursillos sobre temas de gran interés, a fin de fomentar la elaboración de normas que correspondan a las necesidades del mercado. La seguridad de las redes fue el tema de un cursillo organizado recientemente en Seúl los días 13 y 14 de mayo de 2002, a invitación del Gobierno de la República de Corea. Esas fechas se acordaron a fin de aprovechar otros eventos conexos que también se celebraron en Seúl durante el mes de mayo, a saber, la exposición Security World Expo 2002 y el cursillo de planificación estratégica de la UIT “Cómo instaurar la confianza en las infraestructuras críticas de la red”.

Las normas de seguridad se han convertido en un componente esencial de nuestros sistemas de telecomunicaciones e información. Por este motivo, el Grupo Asesor de Normalización de las Telecomunicaciones (GANT) pidió en marzo de 2001 a la Comisión de Estudio 17 del UIT–T que organizase un cursillo técnico sobre seguridad de redes, ya que esa Comisión es la Comisión de Estudio rectora para la seguridad de los sistemas de comunicación. El GANT pidió asimismo a todas las Comisiones de Estudio del UIT–T que considerasen la posibilidad de contribuir al cursillo o de participar en el mismo a fin de que el Sector desempeñe un papel más activo y visible en la normalización mundial en relación con la seguridad de los servicios y las redes.

En su discurso de bienvenida, Kim Chang-Kon, ministro asistente de Planificación de Informatización del Ministerio de Información y Comunicación de la República de Corea, declaró que “un número creciente de ataques informáticos tales como el pirateo y los virus son perpetrados por personas que aprovechan al máximo la libertad y el anonimato de Internet, y los daños que ocasionan se extienden rápidamente por todo el mundo. Para poner término a esos ataques, todas las naciones deben cooperar en la elaboración de las tecnologías necesarias”.

Houlin Zhao, director de la Oficina de Normalización de las Telecomunicaciones (TSB), dijo que “dependemos cada vez más de las redes informáticas y nunca se insistirá bastante en la importancia de su seguridad. Estamos en un momento trascendental y debemos estudiar la seguridad de todos nuestros sistemas técnicos y sociales. La contribución del UIT–T a las actividades mundiales en materia de seguridad consiste en divulgar sus conocimientos técnicos y dar su opinión sobre la seguridad.”

El cursillo estaba abierto a todos los interesados y participaron unos 143 expertos y varios miembros de las Comisiones de Estudio del UIT–T y de otras organizaciones de normalización (SDO) tales como la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/CEI), 3GPP2, OASIS, el Grupo Especial sobre Ingeniería de Internet (IETF) y varios miembros de la comunidad universitaria.

El programa del cursillo comprendió sobre todo cinco sesiones técnicas que abordaron los temas siguientes: requisitos de seguridad y fiabilidad de las telecomunicaciones, temas candentes de la seguridad de las redes basadas en el IP, gestión de la seguridad, autenticación biométrica y tecnologías de seguridad de los sistemas móviles. Todas las ponencias figuran en la dirección http://www.itu.int/ITU-T/worksem/security . El alto nivel de participación en el cursillo se debe en gran medida a los esfuerzos del vicepresidente de la Comisión de Estudio 17, ByoungMoon Chin (República de Corea), que organizó con gran competencia la logística local del evento.

Requisitos de seguridad y fiabilidad de las telecomunicaciones

En esta sesión se trataron cuestiones y requisitos de seguridad en cuatro ámbitos:

• fiabilidad de las redes;

• vulnerabilidad de los protocolos;

• servicios de telecomunicaciones de emergencia;

• comercio electrónico.

Chidung Lac (France Telecom R&D) habló de la fiabilidad de las redes y subrayó las diferencias entre la seguridad contra las catástrofes naturales y la Seguridad contra la delincuencia. Se exploraron varios mecanismos de protección y restablecimiento de la fiabilidad de las redes.

Greg Shannon, director de Normas de Seguridad de Lucent Technologies (EE.UU.), señaló que “los órganos de normalización son los únicos que pueden abordar las vulnerabilidades de seguridad en los protocolos, y esa es su responsabilidad.” A continuación definió la vulnerabilidad de la seguridad como un fallo o una debilidad del diseño, la realización o la explotación de un sistema, que se puede aprovechar para violar la seguridad de ese mismo sistema. El Sr. Shannon explicó además que “una vulnerabilidad de la seguridad no es un riesgo, una amenaza ni un ataque. Una vulnerabilidad de la seguridad combinada con una amenaza a la seguridad crea un riesgo de seguridad y, por consiguiente, la vulnerabilidad combinada con una amenaza es igual a un riesgo.” También señaló que, si bien las amenazas cambian con el tiempo, las vulnerabilidades de la seguridad pueden durar tanto como el protocolo correspondiente.

También se elaboraron, a fin de que se tengan en cuenta al elaborar los protocolos, varias recomendaciones destinadas a órganos de reglamentación, a saber, promover los debates abiertos en materia de seguridad, proporcionar directrices sobre seguridad de protocolos a todos los autores de protocolos e identificar las causas fundamentales de las vulnerabilidades.

Harold Folts, ingeniero superior de sistemas de National Communications System (EE.UU.), habló sobre todo de las “iniciativas de normalización de servicios de telecomunicaciones de emergencia”. En su ponencia subrayó la importante función de los servicios de telecomunicaciones en las operaciones de socorro. Insistió asimismo en la importancia de que los usuarios autorizados, tales como servicios médicos, bomberos o equipos de rescate del Estado o privados, obtengan acceso prioritario a las telecomunicaciones en las redes públicas, especialmente en los primeros momentos de las operaciones de rescate. Las catástrofes pueden producirse en cualquier momento y en cualquier lugar. Cuando se producen terremotos, huracanes, inundaciones, incendios, erupciones volcánicas o ataques terroristas, las infraestructuras de telecomunicaciones sufren grandes daños y en esos momentos, precisamente, es cuando se produce un gran aumento del tráfico. Los primeros equipos de rescate necesitan inmediatamente servicios de telecomunicaciones fiables tales como Internet, las comunicaciones celulares o incluso el servicio telefónico ordinario para organizar y coordinar sus operaciones.

In-Seop Lee (Korea Telecom) señaló que la combinación de dos tendencias ha convertido la seguridad de las redes en un asunto de creciente importancia e interés vital. “En primer lugar, el crecimiento explosivo de los sistemas informáticos y de sus interconexiones a través de las redes ha aumentado la dependencia de las organizaciones y los individuos con respecto a la información almacenada y transmitida por esos sistemas. Ello, a su vez, ha aumentado la conciencia de la necesidad de proteger datos y recursos contra su divulgación, garantizar la autenticidad de los datos y mensajes y proteger los sistemas contra ataques a través de la red.” En segundo lugar, el cifrado y la seguridad de las redes han evolucionado considerablemente y han conducido a la elaboración de aplicaciones prácticas y fácilmente disponibles de seguridad de las redes. A continuación, pasó revista a los diversos mecanismos de seguridad contra las amenazas. Señaló seis capas de seguridad de red: auditoría de seguridad, herramientas de seguridad, programas informáticos, comprobación técnica, seguridad física y administración de redes. Se tomó como ejemplo la seguridad del comercio electrónico y se examinó la seguridad y la confianza en el marco de la estrategia de gestión del riesgo.

Temas candentes de la seguridad de las redes basadas en el IP

El profesor Suguru Yamaguchi, del Nara Institute of Science and Technology (Japón), proporcionó estadísticas sobre problemas de seguridad observados recientemente (exploración y sondeo de puertos, intrusión o allanamiento y negación de servicio) e identificó diversos motivos para los ataques (diseño y realización inadecuados del sistema operativo y de los protocolos relacionados con la seguridad, baja prioridad de la eliminación de lagunas de seguridad). La industria (desarrollo tecnológico e ingeniería), los operadores de telecomunicaciones, los reguladores, los formuladores de políticas y las compañías de seguros deben seguir trabajando sobre la seguridad de las redes. Se subrayó la importancia de la difusión de información sobre las amenazas a la seguridad y se mencionó que los Computer Security Incident Response Teams (CSIRT) son actores importantes en este contexto.

Dongil Seo, de ETRI (República de Corea), presentó un tema de estudio importante relacionado con la tecnología de rastreo que se utiliza en sistemas de localización de piratas. Se suele considerar que el rastreo automático del pirata en Internet es demasiado difícil a causa del anonimato y de las posibilidades de ataques múltiples a través de varios sistemas y, por consiguiente, en la mayoría de los casos los expertos suelen rastrear los piratas analizando los archivos cronológicos. A continuación describió dos sistemas de rastreo: rastreo de paquetes IP (se utiliza para hallar la ubicación real del pirata que envía el paquete que adapta la dirección IP falsificada) y rastreo de cadena de conexión (que se utiliza para hallar la ubicación real del pirata que ataca a través de varios sistemas intermedios). Se pueden utilizar diversas técnicas de rastreo y se están estudiando varias posibilidades para elaborar un sistema de rastreo rápido y preciso en tiempo real, ya que es una necesidad urgente.

PierreAndré Probst, presidente de la Comisión de Estudio 16 del UIT–T, presentó los estudios de la seguridad multimedios realizados por su Comisión de Estudio. Describió los principales resultados y nuevos proyectos. La seguridad multimedios abarca los requisitos de seguridad de las aplicaciones multimedios como la conferencia audio y vídeo, la telefonía basada en el protocolo Internet y la conferencia de datos. La Comisión de Estudio 16 está ultimando detalles de la telefonía IP y uno de sus grandes éxitos es la serie de protocolos de la Recomendación UIT–T H.323 que se reconoce como la norma mundial para la telefonía IP. Otro logro reciente es el anexo F a la Recomendación H.235 en el cual se describe un sistema de seguridad para los operadores de voz por IP (VoIP) que instalan infraestructuras de seguridad basadas en clave pública en entornos relacionados con el comercio electrónico.

En este caso, los abonados y las entidades de red H.323 se autentican inicialmente con su certificado digital y demuestran su identidad aplicando firmas digitales basadas en el PKI. Una vez realizada la autenticación y obtenido el permiso, los abonados pueden efectuar llamadas VoIP seguras.

Semyon Mizikovsky, de Lucent Technologies (EE.UU.), describió una de las actividades que está llevando a cabo el Grupo Especial sobre Ingeniería en Internet en relación con la seguridad de la arquitectura IP de sistemas móviles y, en particular, la autenticación mutua combinada y los protocolos de generación de claves de sesión para nodos móviles adecuados para la capa 2 en redes 802.1x (tales como las redes de área local inalámbricas 802.11).

Gestión de la seguridad de la información

El Profesor Jungduk Kim de la Universidad ChungAng (República de Corea) dio su opinión sobre futuros temas de normalización en el ámbito de la gestión de la seguridad de la información. Como la seguridad de la información ya no se considera desde hace tiempo como un simple asunto técnico y se ha convertido más bien en una cuestión de gestión en las organizaciones, la normalización en este campo reviste numerosos aspectos. Presentó las funciones y los procesos de gestión de la seguridad de la información con objeto de señalar los temas abordados en las actividades de normalización y, en particular, en la Organización Internacional de Normalización y diversos órganos nacionales.

Entre los numerosos temas que no se abordan en las actividades de normalización citó tres principales: gestión de la medición de la seguridad de la información, análisis del costo de los incidentes y rentabilidad de las inversiones en seguridad. También se debatieron los motivos para abordar estos temas en futuras actividades de normalización.

Ted Humphreys, de ISO/CEI/JTC 1/SC 27, habló de la Norma Internacional ISO/CEI 17799 y la presentó como la práctica idónea de gestión de la seguridad de la información, es decir, un planteamiento basado en el riesgo para definir políticas y procedimientos y seleccionar los controles apropiados para gestionar el riesgo.

El Profesor David Chadwick, Seguridad de Sistemas de Información, Universidad de Salford (Reino Unido), presentó la infraestructura de gestión de privilegios (PMI, privilege management infrastructure). La cuarta edición de la Recomendación UIT–T X.509, adoptada en 2000, es la primera en la cual se normalizan los componentes de esas infraestructuras y de este modo, esta Recomendación sigue siendo la norma esencial de las infraestructuras de clave pública (PKI, public key infrastructures). Las PMI ofrecen un sistema distribuido muy seguro de gestión de testigos de autorización (llamados certificados de atributos), del mismo modo que las PKI proporcionan una infraestructura para administrar testigos de autenticación de certificados de clave pública. En esta presentación se dio a los delegados una idea de los componentes y conceptos de las PMI que se describen en la Recomendación X.509 (2000).

Autenticación biométrica

El Profesor Naohisa Komatsu, de la Universidad Waseda (Japón), habló de las tendencias de la normalización biométrica, especialmente en Estados Unidos y Japón. Phil Griffin, del Comité Técnico de Seguridad de OASIS (EE.UU.), habló de la gestión de información biométrica para la seguridad. Ambos oradores se refirieron a la relación entre la privacidad y la biometría, un tema candente no sólo en lo que respecta a la autenticación biométrica sino también en todo lo que concierne a la seguridad de la información.

El Profesor Tsutomu Matsumoto, de la Universidad Nacional de Yokohama (Japón), señaló la vulnerabilidad de la tecnología de autenticación de huellas digitales. La autenticación biométrica es espectacular, pero no es perfecta a causa de ciertas vulnerabilidades que se producen en casi todos los sistemas. Se pueden elaborar sistemas más seguros combinando la autenticación biométrica con otros mecanismos de autenticación.

El mundo tiene más de 6.000 millones de habitantes. Como dijo Paul Gérôme, experto en modelos de seguridad de la Comisión de Estudio 17, “el objetivo es disponer de 6.000 millones de sistemas naturales autenticados biométricamente e interconectados por redes y terminales abiertos seguros”.

Por lo general, los sistemas de autenticación biométrica tienen una interfaz de fácil utilización, en el sentido de que el usuario no necesita recordar palabras clave especiales ni teorías o métodos abstrusos.

Seguridad de los sistemas móviles

Krishna Kumar Sirohi, vicepresidente de la Comisión de Estudios Especial del UIT–T sobre las IMT2000 y sistemas posteriores, describió brevemente las actividades de su Comisión. También ofreció detalles sobre los aspectos de seguridad de las redes móviles en relación con el marco de la Cuestión 3/SSG, que abarca la identificación de los sistemas IMT2000 existentes y en curso de evolución. También se examinaron las necesidades de seguridad y la arquitectura prevista de las IMT2000 y los sistemas posteriores en lo que respecta a las redes centrales.

Frank Quick, presidente de TSGS WG4 (Seguridad) de 3GPP2, presentó las especificaciones del cdma2000 elaborado por 3GPP2 que admite diversos servicios inalámbricos de voz y de datos. Las características de seguridad del sistema cdma2000 protegen a los proveedores de servicio contra fraudes, y la privacidad de los usuarios del sistema. Se examinaron las características de seguridad actuales del cdma2000 y futuras mejoras, en particular la arquitectura del sistema y el entorno reglamentario en el cual se utilizan esas características.

DaeHun Nyang, de la División de Tecnología de Seguridad de la Información de ETRI (República de Corea), presentó la experiencia adquirida por su empresa en el diseño de un módulo de identidad WAP (WIM, Wap Identity Module) que, se espera, será un sistema muy polivalente para el comercio seguro por sistemas móviles. Este módulo WIM coopera con la seguridad de capa de transporte inalámbrico (WTLS, wireless transport layer security) para autenticar a los participantes y asegurar la confidencialidad del tráfico de red. Para tal fin, la tarjeta WIM admite diversas normas y, en particular, la infraestructura de clave pública inalámbrica (WPKI, wireless public key infrastructure), X.509, ISO 7816 y PKCS#15.

La aplicación de este módulo WIM está diseñada con una estructura de capas estricta, que separa el protocolo de capa de transporte y el protocolo de aplicación de la estructura global. Esta estructura estratificada permite actualizar fácilmente los módulos informáticos internos.

También se mostró cómo el terminal móvil comunica con la tarjeta WIM a nivel de controlador del dispositivo. Aunque las tarjetas inteligentes con cifrado de clave pública todavía no tienen muchas aplicaciones en la República de Corea, su utilización aumenta gradualmente con el aumento del comercio por telefonía móvil.