En la entrada anterior ya se había anunciado la continuidad del tema relacionado con las VPN.
En esta oportunidad se hará referencia, a la la razones por las que, el uso de las VPN que no son desarrollados o aprobadas por las organizaciones, tienen limitaciones de uso en la legislación cubana.
Las VPN no están proscriptas en las normativas legales por si mismas, sino por su efectos. Se inicia esta segunda entrega del tema, exponiendo los aspectos que están expuestos en la base legal y luego se dará tratamiento a como el uso de VPN “gratuitas” que se ofertan en sitios internacionales, lesionan estas normas.
El tratamiento en las normas parte de lo expuestos en el artículo 68 del Decreto 370/2019 – Sobre la informatización de la sociedad cubana que en su inciso D dice: “adicionar algún equipo de telecomunicaciones/TIC o introducir cualquier tipo de programas y aplicaciones informáticas en la red de datos, ya sea a través de soportes removibles o mediante acceso a redes externas sin la autorización del titular o no garantizar su compatibilización con las medidas de seguridad establecidas para la protección de la red de datos”.
En el decreto 360/2019 en su sección Cuarta referida a la seguridad en operaciones, en los artículos 55 y 56 inciso E que establece la obligatoriedad de un registro y trazabilidad de las operaciones realizadas, así como el control de los eventos e incidentes.
En la resolución 128/2019 del MINCON en su artículo 39 se establece la necesidad de un mecanismo de seguridad que garantice los principios de la seguridad informática: confidencialidad, integridad, disponibilidad y no repudio.
Tomando como punto de partida estos tres aspectos se establece como punto de partida que en las redes es una obligación legal poseer un registro de los eventos de los sistemas informáticos que garantice que se puedan demostrar las acciones de los usuarios en durante su utilización de las TIC. Esta registro de las trazas de la actividad del usuario tiene como objetivo la tenencia de una evidencia forense para cualquier investigación que se derive de sus acciones.
Esto garantiza que se cumpla el principio del no repudio, o sea, que no se pueda negar la realización de determinada acción. Para que se tenga una idea de la importancia de este mecanismo, sin el, no sería posible el uso de los cajeros automáticos para respaldar las operaciones.
Al utilizar un VPN externo como los mencionados en la entrega anterior, se produce una cronología de hechos, donde el núcleo niega la posibilidad de la trazabilidad y el no repudio.
Cronología de las acciones:
1. El usuario accede a la dirección del VPN.
2. La VPN facilita varias opciones, puede abrir una página “protegida” que encubre la dirección IP y las operaciones que se realizan. Pero también puede, según su configuración del VPN, brindar el acceso a otros servicios. Se puede definir, además del acceso a la web, que aplicaciones pueden salir por esa conexión, o si es el sistema en su totalidad, entre otras variantes.
3. Para el registro de la red solo queda el acceso la dirección de la VPN.
Para que se comprenda mejor el problema, desde el momento en que el usuario enmascara su identidad y sus acciones, está realizando una acción punible que se tipifica en el artículo 68 del decreto 370/19.
Esto se sustenta en el hecho de que con esta práctica, no se aporta al sistema la evidencia para la forensia de las operaciones del usuario y se viola el principio del no repudio, porque no existen registro actividad para demostrar su accionar.
Las VPN de manera habitual, después que el usuario accede a la dirección, lo redirecciona a uno de los servidores disponibles y que está definido por la persona en la configuración que hace de la herramienta.
Y de esta manera en la traza queda registrada, en muchas ocasiones, una dirección IP similar a este ejemplo: 192.69.34.121. La realidad es que estas direcciones IP cambian con frecuencia para mantener enmascarado el mecanismo funcional del servidor VPN. Además puede ocurrir que en cada impacto la VPN cambie el puerto que se utiliza. En la UO el puerto que se utiliza para el tráfico de las VPN es el 1194 que está cerrado por defecto por razones de seguridad, solo está disponible para el servicio http el puerto 443.
De esta manera cuando se intenta hacer un muestreo de la actividad del usuario, como resultado de los cambios habituales de IP y puerto, se produce un error que refiere la no existencia de la página. He aquí la demostración de la violación de la trazabilidad y el no repudio.
La esencia de los mecanismos operacionales de las VPN externas y “gratuitas”, como se explicó en la entrada anterior, presenta desventajas y sobre todo mecanismos oscuros que afectan la seguridad de la red institucional. Este análisis será la base de la próxima entrega de Ciberviernes.