![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/10\/vpn2.png\")
<\/p>\n<\/p>\n
En la entrada anterior ya se hab\u00eda anunciado la continuidad del tema relacionado con las VPN.<\/p>\n
En esta oportunidad se har\u00e1 referencia, a la la razones por las que, el uso de las VPN que no son desarrollados o aprobadas por las organizaciones, tienen limitaciones de uso en la legislaci\u00f3n cubana.<\/p>\n
Las VPN no est\u00e1n proscriptas en las normativas legales por si mismas, sino por su efectos. Se inicia esta segunda entrega del tema, exponiendo los aspectos que est\u00e1n expuestos en la base legal y luego se dar\u00e1 tratamiento a como el uso de VPN \u201cgratuitas\u00bb que se ofertan en sitios internacionales, lesionan estas normas.<\/p>\n
<\/p>\n
El tratamiento en las normas parte de lo expuestos en el art\u00edculo 68 del Decreto 370\/2019 \u2013 Sobre la informatizaci\u00f3n de la sociedad cubana que en su inciso D dice: \u201cadicionar alg\u00fan equipo de telecomunicaciones\/TIC o introducir cualquier tipo de programas y aplicaciones inform\u00e1ticas en la red de datos, ya sea a trav\u00e9s de soportes removibles o mediante acceso a redes externas sin la autorizaci\u00f3n del titular o no garantizar su compatibilizaci\u00f3n con las medidas de seguridad establecidas para la protecci\u00f3n de la red de datos\u201d.<\/p>\n
En el decreto 360\/2019 en su secci\u00f3n Cuarta referida a la seguridad en operaciones, en los art\u00edculos 55 y 56 inciso E que establece la obligatoriedad de un registro y trazabilidad de las operaciones realizadas, as\u00ed como el control de los eventos e incidentes.<\/p>\n
En la resoluci\u00f3n 128\/2019 del MINCON en su art\u00edculo 39 se establece la necesidad de un mecanismo de seguridad que garantice los principios de la seguridad inform\u00e1tica: confidencialidad, integridad, disponibilidad y no repudio.<\/p>\n
Tomando como punto de partida estos tres aspectos se establece como punto de partida que en las redes es una obligaci\u00f3n legal poseer un registro de los eventos de los sistemas inform\u00e1ticos que garantice que se puedan demostrar las acciones de los usuarios en durante su utilizaci\u00f3n de las TIC. Esta registro de las trazas de la actividad del usuario tiene como objetivo la tenencia de una evidencia forense para cualquier investigaci\u00f3n que se derive de sus acciones.<\/p>\n
Esto garantiza que se cumpla el principio del no repudio, o sea, que no se pueda negar la realizaci\u00f3n de determinada acci\u00f3n. Para que se tenga una idea de la importancia de este mecanismo, sin el, no ser\u00eda posible el uso de los cajeros autom\u00e1ticos para respaldar las operaciones.<\/p>\n
Al utilizar un VPN externo como los mencionados en la entrega anterior, se produce una cronolog\u00eda de hechos, donde el n\u00facleo niega la posibilidad de la trazabilidad y el no repudio.<\/p>\n
Cronolog\u00eda de las acciones:<\/p>\n
1. El usuario accede a la direcci\u00f3n del VPN.<\/p>\n
2. La VPN facilita varias opciones, puede abrir una p\u00e1gina \u201cprotegida\u201d que encubre la direcci\u00f3n IP y las operaciones que se realizan. Pero tambi\u00e9n puede, seg\u00fan su configuraci\u00f3n del VPN, brindar el acceso a otros servicios. Se puede definir, adem\u00e1s del acceso a la web, que aplicaciones pueden salir por esa conexi\u00f3n, o si es el sistema en su totalidad, entre otras variantes.<\/p>\n
3. Para el registro de la red solo queda el acceso la direcci\u00f3n de la VPN.<\/p>\n
Para que se comprenda mejor el problema, desde el momento en que el usuario enmascara su identidad y sus acciones, est\u00e1 realizando una acci\u00f3n punible que se tipifica en el art\u00edculo 68 del decreto 370\/19.<\/p>\n
Esto se sustenta en el hecho de que con esta pr\u00e1ctica, no se aporta al sistema la evidencia para la forensia de las operaciones del usuario y se viola el principio del no repudio, porque no existen registro actividad para demostrar su accionar.<\/p>\n
\n
Las VPN de manera habitual, despu\u00e9s que el usuario accede a la direcci\u00f3n, lo redirecciona a uno de los servidores disponibles y que est\u00e1 definido por la persona en la configuraci\u00f3n que hace de la herramienta.<\/p>\n
Y de esta manera en la traza queda registrada, en muchas ocasiones, una direcci\u00f3n IP similar a este ejemplo: 192.69.34.121. La realidad es que estas direcciones IP cambian con frecuencia para mantener enmascarado el mecanismo funcional del servidor VPN. Adem\u00e1s puede ocurrir que en cada impacto la VPN cambie el puerto que se utiliza. En la UO el puerto que se utiliza para el tr\u00e1fico de las VPN es el 1194 que est\u00e1 cerrado por defecto por razones de seguridad, solo est\u00e1 disponible para el servicio http el puerto 443.<\/p>\n
De esta manera cuando se intenta hacer un muestreo de la actividad del usuario, como resultado de los cambios habituales de IP y puerto, se produce un error que refiere la no existencia de la p\u00e1gina. He aqu\u00ed la demostraci\u00f3n de la violaci\u00f3n de la trazabilidad y el no repudio.<\/p>\n
La esencia de los mecanismos operacionales de las VPN externas y \u201cgratuitas\u00bb, como se explic\u00f3 en la entrada anterior, presenta desventajas y sobre todo mecanismos oscuros que afectan la seguridad de la red institucional. Este an\u00e1lisis ser\u00e1 la base de la pr\u00f3xima entrega de Ciberviernes.<\/p>\n
En la entrada anterior ya se hab\u00eda anunciado la continuidad del tema relacionado con las VPN. En esta oportunidad se har\u00e1 referencia, a la la razones por las que, el uso de las VPN que no son desarrollados o aprobadas … Sigue leyendo