
UIT 020114/EyeWire
|
Un componente crítico de nuestros
sistemas de telecomunicaciones e información
El Sector de Normalización de las Telecomunicaciones de la
UIT (UIT–T) organiza periódicamente cursillos sobre temas de gran interés, a
fin de fomentar la elaboración de normas que correspondan a las necesidades del
mercado. La seguridad de las redes fue el tema de un cursillo organizado
recientemente en Seúl los días 13 y 14 de mayo de 2002, a invitación del
Gobierno de la República de Corea. Esas fechas se acordaron a fin de aprovechar
otros eventos conexos que también se celebraron en Seúl durante el mes de
mayo, a saber, la exposición Security World Expo 2002 y el cursillo de
planificación estratégica de la UIT “Cómo instaurar la confianza en las
infraestructuras críticas de la red”.
Las normas de seguridad se han convertido en un componente
esencial de nuestros sistemas de telecomunicaciones e información. Por este
motivo, el Grupo Asesor de Normalización de las Telecomunicaciones (GANT)
pidió en marzo de 2001 a la Comisión de Estudio 17 del UIT–T que organizase
un cursillo técnico sobre seguridad de redes, ya que esa Comisión es la
Comisión de Estudio rectora para la seguridad de los sistemas de comunicación.
El GANT pidió asimismo a todas las Comisiones de Estudio del UIT–T que
considerasen la posibilidad de contribuir al cursillo o de participar en el
mismo a fin de que el Sector desempeñe un papel más activo y visible en la
normalización mundial en relación con la seguridad de los servicios y las
redes.
Comisión 17 del UIT–T: haciendo
camino
La Comisión de Estudio 17 del UIT–T es la Comisión de
Estudio rectora en materia de seguridad de sistemas de comunicación. Sus
actividades se pueden clasificar en dos categorías. La primera comprende las
actividades dedicadas a definir y mantener marcos de seguridad globales, y la
segunda las actividades de gestión de proyectos que entrañan la coordinación,
asignación y definición de iniciativas prioritarias de los trabajos que
conducirían a la elaboración oportuna de recomendaciones sobre seguridad de
sistemas de comunicación. Herbert Bertine, de Lucent Technologies, y Amardeo
Sarma, de NEC Europe Ltd, son copresidentes de la Comisión de Estudio 17.
Esta Comisión de Estudio colabora estrechamente con otras Comisiones de Estudio
a fin de identificar y definir soluciones de seguridad. No se proyecta que la
Comisión participe en la elaboración de algoritmos de cifrado específicos, en
el registro de algoritmos de cifrado (la ISO ya se ocupa eficazmente de esa
función de registro) o en la certificación de la seguridad de sistemas
específicos.
Cuestión 10/17, Servicios, mecanismos y protocolos de seguridad
Las actividades que se llevan a cabo actualmente en el marco
de esta Cuestión están relacionadas con la seguridad de los sistemas de
comunicación, la gestión de la seguridad, la seguridad de la telefonía móvil
y la telebiometría.
Hiroyuki Ohno (Japón) es relator para la Cuestión 10/17 para el periodo
2001–2004. También es coordinador de las actividades de la Comisión de
Estudio.
Los compendios
La Comisión de Estudio 17 solicita información sobre las
actividades de todas las Comisiones de Estudio de la UIT en materia de seguridad
y elabora dos publicaciones, a saber:
Se trata de una lista que se seguirá actualizando con miras
a obtener una comprensión y una utilización comunes de los términos de
seguridad en el UIT–T (véase http://www.itu.int/ITU-T/studygroups/com17/cssecurity.html).
|
En su discurso de bienvenida, Kim Chang-Kon, ministro
asistente de Planificación de Informatización del Ministerio de Información y
Comunicación de la República de Corea, declaró que “un número creciente de
ataques informáticos tales como el pirateo y los virus son perpetrados por
personas que aprovechan al máximo la libertad y el anonimato de Internet, y los
daños que ocasionan se extienden rápidamente por todo el mundo. Para poner
término a esos ataques, todas las naciones deben cooperar en la elaboración de
las tecnologías necesarias”.
Houlin Zhao, director de la Oficina de Normalización de las
Telecomunicaciones (TSB), dijo que “dependemos cada vez más de las redes
informáticas y nunca se insistirá bastante en la importancia de su seguridad.
Estamos en un momento trascendental y debemos estudiar la seguridad de todos
nuestros sistemas técnicos y sociales. La contribución del UIT–T a las
actividades mundiales en materia de seguridad consiste en divulgar sus
conocimientos técnicos y dar su opinión sobre la seguridad.”
El cursillo estaba abierto a todos los interesados y
participaron unos 143 expertos y varios miembros de las Comisiones de Estudio
del UIT–T y de otras organizaciones de normalización (SDO) tales como la
Organización Internacional de Normalización/Comisión Electrotécnica
Internacional (ISO/CEI), 3GPP2, OASIS, el Grupo Especial sobre Ingeniería de
Internet (IETF) y varios miembros de la comunidad universitaria.
El programa del cursillo comprendió sobre todo cinco
sesiones técnicas que abordaron los temas siguientes: requisitos de seguridad y
fiabilidad de las telecomunicaciones, temas candentes de la seguridad de las
redes basadas en el IP, gestión de la seguridad, autenticación biométrica y
tecnologías de seguridad de los sistemas móviles. Todas las ponencias figuran
en la dirección http://www.itu.int/ITU-T/worksem/security
. El alto nivel de
participación en el cursillo se debe en gran medida a los esfuerzos del
vicepresidente de la Comisión de Estudio 17, ByoungMoon Chin (República de
Corea), que organizó con gran competencia la logística local del evento.
Comisión de Estudio 2 del UIT–T
A finales de noviembre de 2001, el Grupo Asesor de
Normalización de las Telecomunicaciones pidió que la Comisión de Estudio 2
comenzara a elaborar un documento sobre las necesidades en materia de fiabilidad
y seguridad de las telecomunicaciones, para que sirviera de base a la
elaboración de las normas técnicas necesarias en el UIT–T. La Comisión de
Estudio comenzó rápidamente esa tarea, nombró coordinador de seguridad a Luis
Cardoso, de CPRM Marconi (Portugal), y comenzó los trabajos sobre dos
nuevos proyectos de Recomendación:
-
Recomendación UIT–T E.sec1: “Requisitos de
seguridad de las redes de telecomunicaciones”, contiene una visión
general y un marco en los cuales se identifican las amenazas a la seguridad
de las redes de telecomunicaciones en general (fijas y móviles, de voz y de
datos) y contiene orientaciones para planificar contramedidas que se puedan
tomar para reducir los riesgos dimanantes de las amenazas. Se propone una
arquitectura de seguridad de seis capas, y se definen los objetivos que cada
capa debe alcanzar y se hacen corresponder las capas de seguridad con el
modelo de capa 7 de la OSI.
-
Recomendación UIT–T E.sec.2: “Organización de
incidentes y tratamiento de incidentes de seguridad (directrices)”.
El objeto de esta Recomendación es analizar, estructurar y
sugerir un método para establecer una organización de gestión de incidentes
en el cual se estudie el transcurso y la estructura del incidente. El transcurso
y el tratamiento son útiles para determinar si un evento se clasifica como un
evento, un incidente, un incidente de seguridad o una crisis. El transcurso
también abarca las primeras decisiones críticas que se han de tomar.
Ya se han elaborado proyectos de textos completos de esas
Recomendaciones, que han sido aceptados como base para los futuros trabajos de
la Comisión de Estudio 2. Además, un volumen considerable de trabajo
relacionado con la seguridad y la fiabilidad de las telecomunicaciones y con el
tratamiento de situaciones de emergencia se está llevando a cabo en el Grupo de
Desarrollo de Gestión de Redes y el Grupo de Desarrollo de Calidad de Servicio.
Una parte de este trabajo podría quedar reflejado en futuras Recomendaciones.
Grupo para el desarrollo de la Calidad del Servicio (GDCS)
El GDCS —un grupo de la Comisión de Estudio 2 del UIT–T
que realiza pruebas prácticas— se reunió recientemente en Washington. Uno de
los principales temas de que se ocupa el grupo es la seguridad de la red. Se
debatió el interfuncionamiento de la señalización móvil GSM con los enlaces
de señalización que se utilizan en las redes fijas. Además se volvió a
tratar el asunto de la privacidad en las tecnologías LAN inalámbricas.
|
Requisitos de seguridad y fiabilidad de las telecomunicaciones
En esta sesión se trataron cuestiones y requisitos de
seguridad en cuatro ámbitos:
Chidung Lac (France Telecom R&D) habló de la
fiabilidad de las redes y subrayó las diferencias entre la seguridad contra las
catástrofes naturales y la Seguridad contra la delincuencia. Se exploraron
varios mecanismos de protección y restablecimiento de la fiabilidad de las
redes.
UIT 970055/INMARSAT

Cuando se produce una catástrofe, la eficacia de las telecomunicaciones puede
salvar vidas...
UIT 020056/EyeWire
|
Greg Shannon, director de Normas de Seguridad de Lucent
Technologies (EE.UU.), señaló que “los órganos de normalización son
los únicos que pueden abordar las vulnerabilidades de seguridad en los
protocolos, y esa es su responsabilidad.” A continuación definió la
vulnerabilidad de la seguridad como un fallo o una debilidad del diseño, la
realización o la explotación de un sistema, que se puede aprovechar para
violar la seguridad de ese mismo sistema. El Sr. Shannon explicó además que
“una vulnerabilidad de la seguridad no es un riesgo, una amenaza ni un ataque.
Una vulnerabilidad de la seguridad combinada con una amenaza a la seguridad crea
un riesgo de seguridad y, por consiguiente, la vulnerabilidad combinada con una
amenaza es igual a un riesgo.” También señaló que, si bien las amenazas
cambian con el tiempo, las vulnerabilidades de la seguridad pueden durar tanto
como el protocolo correspondiente.
También se elaboraron, a fin de que se tengan en cuenta al
elaborar los protocolos, varias recomendaciones destinadas a órganos de
reglamentación, a saber, promover los debates abiertos en materia de seguridad,
proporcionar directrices sobre seguridad de protocolos a todos los autores de
protocolos e identificar las causas fundamentales de las vulnerabilidades.
Harold Folts, ingeniero superior de sistemas de National
Communications System (EE.UU.), habló sobre todo de las “iniciativas de
normalización de servicios de telecomunicaciones de emergencia”. En su
ponencia subrayó la importante función de los servicios de telecomunicaciones
en las operaciones de socorro. Insistió asimismo en la importancia de que los
usuarios autorizados, tales como servicios médicos, bomberos o equipos de
rescate del Estado o privados, obtengan acceso prioritario a las
telecomunicaciones en las redes públicas, especialmente en los primeros
momentos de las operaciones de rescate. Las catástrofes pueden producirse en
cualquier momento y en cualquier lugar. Cuando se producen terremotos,
huracanes, inundaciones, incendios, erupciones volcánicas o ataques
terroristas, las infraestructuras de telecomunicaciones sufren grandes daños y
en esos momentos, precisamente, es cuando se produce un gran aumento del
tráfico. Los primeros equipos de rescate necesitan inmediatamente servicios de
telecomunicaciones fiables tales como Internet, las comunicaciones celulares o
incluso el servicio telefónico ordinario para organizar y coordinar sus
operaciones.

UIT 010015/Avaya Inc.
|
In-Seop Lee (Korea Telecom) señaló que la
combinación de dos tendencias ha convertido la seguridad de las redes en un
asunto de creciente importancia e interés vital. “En primer lugar, el
crecimiento explosivo de los sistemas informáticos y de sus interconexiones a
través de las redes ha aumentado la dependencia de las organizaciones y los
individuos con respecto a la información almacenada y transmitida por esos
sistemas. Ello, a su vez, ha aumentado la conciencia de la necesidad de proteger
datos y recursos contra su divulgación, garantizar la autenticidad de los datos
y mensajes y proteger los sistemas contra ataques a través de la red.” En
segundo lugar, el cifrado y la seguridad de las redes han evolucionado
considerablemente y han conducido a la elaboración de aplicaciones prácticas y
fácilmente disponibles de seguridad de las redes. A continuación, pasó
revista a los diversos mecanismos de seguridad contra las amenazas. Señaló
seis capas de seguridad de red: auditoría de seguridad, herramientas de
seguridad, programas informáticos, comprobación técnica, seguridad física y
administración de redes. Se tomó como ejemplo la seguridad del comercio
electrónico y se examinó la seguridad y la confianza en el marco de la
estrategia de gestión del riesgo.
Temas candentes de la seguridad de las redes basadas en el IP
El profesor Suguru Yamaguchi, del Nara Institute of
Science and Technology (Japón), proporcionó estadísticas sobre problemas
de seguridad observados recientemente (exploración y sondeo de puertos,
intrusión o allanamiento y negación de servicio) e identificó diversos
motivos para los ataques (diseño y realización inadecuados del sistema
operativo y de los protocolos relacionados con la seguridad, baja prioridad de
la eliminación de lagunas de seguridad). La industria (desarrollo tecnológico
e ingeniería), los operadores de telecomunicaciones, los reguladores, los
formuladores de políticas y las compañías de seguros deben seguir trabajando
sobre la seguridad de las redes. Se subrayó la importancia de la difusión de
información sobre las amenazas a la seguridad y se mencionó que los Computer
Security Incident Response Teams (CSIRT) son actores importantes en este
contexto.
Dongil Seo, de ETRI (República de Corea), presentó un tema
de estudio importante relacionado con la tecnología de rastreo que se utiliza
en sistemas de localización de piratas. Se suele considerar que el rastreo
automático del pirata en Internet es demasiado difícil a causa del anonimato y
de las posibilidades de ataques múltiples a través de varios sistemas y, por
consiguiente, en la mayoría de los casos los expertos suelen rastrear los
piratas analizando los archivos cronológicos. A continuación describió dos
sistemas de rastreo: rastreo de paquetes IP (se utiliza para hallar la
ubicación real del pirata que envía el paquete que adapta la dirección IP
falsificada) y rastreo de cadena de conexión (que se utiliza para hallar la
ubicación real del pirata que ataca a través de varios sistemas intermedios).
Se pueden utilizar diversas técnicas de rastreo y se están estudiando varias
posibilidades para elaborar un sistema de rastreo rápido y preciso en tiempo
real, ya que es una necesidad urgente.
PierreAndré Probst, presidente de la Comisión de Estudio 16
del UIT–T, presentó los estudios de la seguridad multimedios realizados por
su Comisión de Estudio. Describió los principales resultados y nuevos
proyectos. La seguridad multimedios abarca los requisitos de seguridad de las
aplicaciones multimedios como la conferencia audio y vídeo, la telefonía
basada en el protocolo Internet y la conferencia de datos. La Comisión de
Estudio 16 está ultimando detalles de la telefonía IP y uno de sus grandes
éxitos es la serie de protocolos de la Recomendación UIT–T H.323 que se
reconoce como la norma mundial para la telefonía IP. Otro logro reciente es el
anexo F a la Recomendación H.235 en el cual se describe un sistema de seguridad
para los operadores de voz por IP (VoIP) que instalan infraestructuras de
seguridad basadas en clave pública en entornos relacionados con el comercio
electrónico.
En este caso, los abonados y las entidades de red H.323 se
autentican inicialmente con su certificado digital y demuestran su identidad
aplicando firmas digitales basadas en el PKI. Una vez realizada la
autenticación y obtenido el permiso, los abonados pueden efectuar llamadas VoIP
seguras.
Semyon Mizikovsky, de Lucent Technologies (EE.UU.),
describió una de las actividades que está llevando a cabo el Grupo Especial
sobre Ingeniería en Internet en relación con la seguridad de la arquitectura
IP de sistemas móviles y, en particular, la autenticación mutua combinada y
los protocolos de generación de claves de sesión para nodos móviles adecuados
para la capa 2 en redes 802.1x (tales como las redes de área local
inalámbricas 802.11).
Gestión de la seguridad de la información
El Profesor Jungduk Kim de la Universidad ChungAng
(República de Corea) dio su opinión sobre futuros temas de normalización en
el ámbito de la gestión de la seguridad de la información. Como la seguridad
de la información ya no se considera desde hace tiempo como un simple asunto
técnico y se ha convertido más bien en una cuestión de gestión en las
organizaciones, la normalización en este campo reviste numerosos aspectos.
Presentó las funciones y los procesos de gestión de la seguridad de la
información con objeto de señalar los temas abordados en las actividades de
normalización y, en particular, en la Organización Internacional de
Normalización y diversos órganos nacionales.

UIT 020131/PhotoDisc
|
Entre los numerosos temas que no se abordan en las
actividades de normalización citó tres principales: gestión de la medición
de la seguridad de la información, análisis del costo de los incidentes y
rentabilidad de las inversiones en seguridad. También se debatieron los motivos
para abordar estos temas en futuras actividades de normalización.
Ted Humphreys, de ISO/CEI/JTC 1/SC 27, habló de la
Norma Internacional ISO/CEI 17799 y la presentó como la práctica idónea de
gestión de la seguridad de la información, es decir, un planteamiento basado
en el riesgo para definir políticas y procedimientos y seleccionar los
controles apropiados para gestionar el riesgo.
El Profesor David Chadwick, Seguridad de Sistemas de
Información, Universidad de Salford (Reino Unido), presentó la infraestructura
de gestión de privilegios (PMI, privilege management infrastructure). La
cuarta edición de la Recomendación UIT–T X.509, adoptada en 2000, es la
primera en la cual se normalizan los componentes de esas infraestructuras y de
este modo, esta Recomendación sigue siendo la norma esencial de las
infraestructuras de clave pública (PKI, public key infrastructures). Las
PMI ofrecen un sistema distribuido muy seguro de gestión de testigos de
autorización (llamados certificados de atributos), del mismo modo que las PKI
proporcionan una infraestructura para administrar testigos de autenticación de
certificados de clave pública. En esta presentación se dio a los delegados una
idea de los componentes y conceptos de las PMI que se describen en la
Recomendación X.509 (2000).

ITU 020112/PhotoDisc
|
Autenticación biométrica
El Profesor Naohisa Komatsu, de la Universidad Waseda
(Japón), habló de las tendencias de la normalización biométrica,
especialmente en Estados Unidos y Japón. Phil Griffin, del Comité Técnico de
Seguridad de OASIS (EE.UU.), habló de la gestión de información biométrica
para la seguridad. Ambos oradores se refirieron a la relación entre la
privacidad y la biometría, un tema candente no sólo en lo que respecta a la
autenticación biométrica sino también en todo lo que concierne a la seguridad
de la información.
El Profesor Tsutomu Matsumoto, de la Universidad Nacional de
Yokohama (Japón), señaló la vulnerabilidad de la tecnología de
autenticación de huellas digitales. La autenticación biométrica es
espectacular, pero no es perfecta a causa de ciertas vulnerabilidades que se
producen en casi todos los sistemas. Se pueden elaborar sistemas más seguros
combinando la autenticación biométrica con otros mecanismos de autenticación.
El mundo tiene más de 6.000 millones de habitantes. Como
dijo Paul Gérôme, experto en modelos de seguridad de la Comisión de Estudio
17, “el objetivo es disponer de 6.000 millones de sistemas naturales
autenticados biométricamente e interconectados por redes y terminales abiertos
seguros”.
Por lo general, los sistemas de autenticación biométrica
tienen una interfaz de fácil utilización, en el sentido de que el usuario no
necesita recordar palabras clave especiales ni teorías o métodos abstrusos.

UIT 020113/EyeWire
|
Seguridad de los sistemas móviles
Krishna Kumar Sirohi, vicepresidente de la Comisión de
Estudios Especial del UIT–T sobre las IMT2000 y sistemas posteriores,
describió brevemente las actividades de su Comisión. También ofreció
detalles sobre los aspectos de seguridad de las redes móviles en relación con
el marco de la Cuestión 3/SSG, que abarca la identificación de los sistemas
IMT2000 existentes y en curso de evolución. También se examinaron las
necesidades de seguridad y la arquitectura prevista de las IMT2000 y los
sistemas posteriores en lo que respecta a las redes centrales.
Frank Quick, presidente de TSGS WG4 (Seguridad) de 3GPP2,
presentó las especificaciones del cdma2000 elaborado por 3GPP2 que admite
diversos servicios inalámbricos de voz y de datos. Las características de
seguridad del sistema cdma2000 protegen a los proveedores de servicio contra
fraudes, y la privacidad de los usuarios del sistema. Se examinaron las
características de seguridad actuales del cdma2000 y futuras mejoras, en
particular la arquitectura del sistema y el entorno reglamentario en el cual se
utilizan esas características.

UIT 010521/Alcatel
|
DaeHun Nyang, de la División de Tecnología de Seguridad de
la Información de ETRI (República de Corea), presentó la experiencia
adquirida por su empresa en el diseño de un módulo de identidad WAP (WIM,
Wap Identity Module) que, se espera, será un sistema muy polivalente para
el comercio seguro por sistemas móviles. Este módulo WIM coopera con la
seguridad de capa de transporte inalámbrico (WTLS, wireless transport layer
security) para autenticar a los participantes y asegurar la confidencialidad
del tráfico de red. Para tal fin, la tarjeta WIM admite diversas normas y, en
particular, la infraestructura de clave pública inalámbrica (WPKI, wireless
public key infrastructure), X.509, ISO 7816 y PKCS#15.
La aplicación de este módulo WIM está diseñada con una
estructura de capas estricta, que separa el protocolo de capa de transporte y el
protocolo de aplicación de la estructura global. Esta estructura estratificada
permite actualizar fácilmente los módulos informáticos internos.
También se mostró cómo el terminal móvil comunica con la
tarjeta WIM a nivel de controlador del dispositivo. Aunque las tarjetas
inteligentes con cifrado de clave pública todavía no tienen muchas
aplicaciones en la República de Corea, su utilización aumenta gradualmente con
el aumento del comercio por telefonía móvil.
|