31 dic. 2016

Un hacker en Corea (I)

Este post fue originalmente publicado en ElevenPaths como parte de una serie de artículos que cuentan los 3 meses que viví en Corea del Sur, estudiando Ciberseguridad en la Universidad de Corea.

Por esas extrañas coincidencias de la vida, el pasado mes de julio fui seleccionado para realizar una beca de estudio sobre Ciberseguridad en Corea del Sur, tres meses desde octubre a diciembre.

Las primeras reacciones que recibí al anunciar la noticia fueron muy simpáticas e inocentes:
  • ¿Vas a ir y volver cada 15 días? Hay que notar que desde Argentina son 19.000 Km de distancia y 32 horas de viaje. Por la diferencia horaria de 12 horas, los primeros días se vive al revés y el jetlag es difícil de superar. Una curiosidad: si se hace un agujero en Argentina, casi se llega a Corea del Sur. Literalmente estamos en las antípodas y no solo por la distancia, ya lo veremos.
  • ¿La del Sur es la buena no? Depende para quien.
  • ¿Ya te echaron de ElevenPaths? No, al contrario, fueron quienes me respaldaron durante estos tres meses y me hicieron sumamente fácil el proceso de estudiar y trabajar con 12 horas de diferencia. A todos ellos GRACIAS, hicieron mucho más que demostrar que la innovación es nuestro principal motor.
  • ¿Qué vas a comer? No lo sé.
  • ¿De ahí viene el Gangnam Style y el K-Pop? Sí, pero esa es otra historia.
Éstas y otras preguntas del mismo calibre, serían la primera demostración de lo poco que conocemos sobre Asia y su cultura. Todo lo demás estaba por llegar.

A Corea del Sur lo llaman “el milagro sobre el Río Han” y no en vano este río es una metáfora de su historia, política y economía. El Río Han (Hangul: 한강) nace en Corea del Norte y, paradójicamente, este río que ha sido de tanta importancia para el crecimiento del país, también marca un límite natural entre las dos Corea -Norte y Sur, separados por decenas de problemas- y los dos Seúl -Norte y Sur unidos por decenas de puentes-.

Corea tiene una historia rica y milenaria marcada por centenares de guerras, uniones y desencuentros con sus vecinos, principalmente China, Japón y Rusia. La historia no hace más que repetirse y su presente está marcado por cientos de políticas, normas y procedimientos gubernamentales relacionados al e-Government, la ciberguerra y la ciberdefensa.

Por eso, estudiar ciberseguridad en la Universidad de Corea no es lo mismo que estudiarlo en otro país. Dicen que Corea del Sur es uno de los países más atacados del mundo por sus hermanos, los del Norte. Dicen que Corea del Norte es el país con mayor cantidad de atacantes del mundo; un país que, sin embargo no tiene Internet. Dicen, y es difícil debatir los “dicen”, incluso estando en el lugar.

Corea del Sur es las antípoda de occidente en la cultura, las costumbres, las comidas, los horarios, las ideas, la educación, la tecnología - de allí son Samsung y LG - y la política, que desde octubre estuvo marcada por el proceso de Impeachment de su presidenta Park Geun-hye, que actualmente se encuentra suspendida por supuesto tráfico de influencias… Y, el idioma, el cual estuve estudiando tres meses y por supuesto con el cual perdí la batalla.

El primer día de Universidad ya hace la diferencia: en Corea hace 16 años pensaron una política de ciberseguridad para el país, crearon laboratorios de investigación, entrenaron a su personal y crearon carreras de grado y postgrado en ciberseguridad en varias Universidades y escuelas superiores del país. Estos estudios contemplan aspectos técnicos, legales y de gestión, es decir todo lo que cualquier profesional de seguridad de la información debe conocer.

Para realizar una mejor selección de los futuros profesionales y crear un semillero de expertos, se busca cerebros en las escuelas secundarias y, a partir de los 16 años, estos pequeños nuevos hackers son entrenados en programas especiales para que no se desvíen ética y moralmente y su conocimiento técnico pueda ser aprovechado por el estado. La historia de Corea y la informatización comienza en la década del 70, les sirvió como base para establecer su democracia actual y es interesante remarcar que el proceso siempre fue pensado con la seguridad como base, por la gran cantidad de incidentes relacionados con China y Corea del Norte. Por eso sus políticas de estado contemplan:
  • Security: aquellos riesgos contra el estado y el territorio. 
  • Safety: riesgos contra los ciudadanos. 
  • National Cybersecurity: engloba los dos anteriores y es representado por decenas de organismos nacionales entre los que se puede mencionar KISA, NSRI, NCSC y NCIS. 
  • Legislación: todo el proceso de ciberseguridad fue implementado pensando primero en las leyes nacionales; no como un parche a la tecnología, sino como una estrategia para el crecimiento del país.
Por todo lo anterior Corea del Sur tiene leyes de delitos informáticos desde principios de los 80 y ejecuta simulacros de ciberguerra (CyberWarfare) desde los 90. Además, estas leyes alcanzan la protección de las más de 3.000 Infraestructuras Críticas (70% nacionales) desde 2001 y las mismas son reevaluadas cada año para contemplar los nuevos riesgos y desafíos técnicos.

Finalmente, Corea considera fundamentales las siguientes políticas para las organizaciones, tanto públicas como privadas:
  1. Creación de un SGSI basado en ISO 27000 pero adaptado a las necesidades del país y que debe ser implementado y certificado por cualquier organización que manipule información sensible. 
  2. Cualquier organización que adquiera o desarrolle software y lo publique en un sitio web, es auditado en base a las buenas prácticas de OWASP y, si las mismas no se cumplen, la página puede ser dada de baja hasta que lo haga. 
  3. Al software desarrollado en Corea, se le realizan análisis Black-box y White-box basados en Common Criteria
  4. El estudio de la criptografía que los ha llevado a desarrollar ARIA, un algoritmo simétrico propio basado en AES y que es utilizado en todo el país. Seguramente habrá decenas de otros algoritmos, pero los mismos no son públicos. 
  5. Utilización global de la firma digital para los 50 millones de ciudadanos con un “cyberID” para cada uno de ellos, el cual facilita los trámites públicos del e-Government y sí, también la ciber-vigilancia en pro de la Seguridad Nacional.
Sin embargo, los ciudadanos y el gobierno no utilizan software libre y el uso de Internet Explorer con ActiveX es el estándar para cualquier actividad oficial o particular. ¿Por qué? La respuesta es sencilla y también contradictoria: al ser los primeros en implementar políticas de firma digital para el e-Government, se vieron obligados a utilizar las herramientas disponibles a principios de siglo. Actualizar dicha infraestructura a la tecnología actual es costoso, aunque ya se encuentran en dicho camino.

En la próxima entrega de esta serie veremos cómo hizo Corea para implementar estas políticas a nivel nacional respetando tres principios básicos: la colaboración internacional en la lucha contra el cibercrimen; la protección de la privacidad de los datos del ciudadano (PII); y la protección de las infraestructuras críticas, en un país rodeado de "enemigos naturales" y cuyo nivel de informatización hace de la seguridad de la información sea prioridad para el gobierno.

Un hacker en Corea (II)
Un hacker en Corea (III)
Un hacker en Corea (y IV)

Lic. Cristian Borghello, CISSP-CCSK-MVP
ElevenPaths Argentina

5 comentarios:

  1. Gracias Cristian por escribir tan bien! y por compartir tu experiencias y lo que aprendiste. Te merecías esa beca!!!!. Que bueno seria que nuestro país imite en algo a los buenos Coreanos!
    Jorge Escudero

    ResponderEliminar
  2. Hola Cristian!, antes que nada los mejores deseos para este 2017!, que tremenda experiencia la que estás viviendo en estos meses, aguardo las siguientes entregas. Abz Herman

    ResponderEliminar
  3. Felicitaciones por esa experiencia que estás viviendo. A la espera de tus nuevos reportes!

    ResponderEliminar
  4. Querido Colega, interesante ver a través de su experiencia la cultura adquirida y gestionada por los coreanos en materia de seguridad informática y de la Información. Una muestra clara del interés del Gobierno en protegerse, un ejemplo para mostrarle por ahí a unos cuantos presidentes.

    ResponderEliminar
  5. Excelente como siempre amigo. Te deseo un gran 2017 desde Salta!

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!