1、 Unin Internacional de TelecomunicacionesUIT-T X.1207SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (04/2008) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Seguridad en el ciberespacio Ciberseguridad Directrices para los proveedores de servicios de telecomunica
2、ciones acerca del riesgo de programas espas y de software potencialmente no deseado Recomendacin UIT-T X.1207 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS X.1X.199 INTERCONEXIN DE SISTEMAS ABIERTOS X.200X.299 INTERFUNCIONA
3、MIENTO ENTRE REDES X.300X.399 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS X.600X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEM
4、AS ABIERTOS X.850X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LA INFORMACIN Y DE LAS REDES Aspectos generales de la seguridad X.1000X.1029 Seguridad de las redes X.1030X.1049 Gestin de la seguridad X.1050X.1069 Telebiometra X.1080X.1099 APLICACIONES Y SERVICIOS CON SEGURIDAD Segur
5、idad en la multidifusin X.1100X.1109 Seguridad en la red residencial X.1110X.1119 Seguridad en las redes mviles X.1120X.1139 Seguridad en la web X.1140X.1149 Protocolos de seguridad X.1150X.1159 Seguridad en las comunicaciones punto a punto X.1160X.1169 Seguridad de la identidad en las redes X.1170X
6、.1179 Seguridad en la TVIP X.1180X.1199 SEGURIDAD EN EL CIBERESPACIO Ciberseguridad X.1200X.1229 Lucha contra el correo basura X.1230X.1249 Gestin de identidades X.1250X.1279 APLICACIONES Y SERVICIOS CON SEGURIDAD Comunicaciones de emergencia X.1300X.1309 Seguridad en las redes de sensores ubicuos X
7、.1310X.1339 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1207 (04/2008) i Recomendacin UIT-T X.1207 Directrices para los proveedores de servicios de telecomunicaciones acerca del riesgo de programas espas y de software potencialmente no deseado Resumen La Recomendacin
8、 X.1207 ofrece a los proveedores de servicios de telecomunicaciones directrices para abordar el riesgo que suponen posibles programas espas y software potencialmente no deseado. En esta Recomendacin se promueven prcticas idneas basadas en principios de claridad de la informacin y de consentimiento p
9、or parte del usuario, y de controles para los servicios web que alberga el proveedor de servicios de telecomunicaciones. En la Recomendacin se desarrollan y promueven prcticas ptimas para los usuarios en materia de seguridad de los computadores personales, entre las cuales se encuentran la utilizaci
10、n en los sistemas del cliente de software contra los programas espas, antivirus, cortafuegos y las actualizaciones de seguridad. Orgenes La Recomendacin UIT-T X.1207 fue aprobada el 18 de abril de 2008 por la Comisin de Estudio 17 (2005-2008) del UIT-T por el procedimiento de la Resolucin 1 de la AM
11、NT. Palabras clave Programas espas, seguridad de Internet, software engaoso, software potencialmente no deseado. ii Rec. UIT-T X.1207 (04/2008) PREFACIO La Unin Internacional de Telecomunicaciones (UIT) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones y de l
12、as tecnologas de la informacin y la comunicacin. El Sector de Normalizacin de las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las
13、telecomunicaciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomen
14、daciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta
15、Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas
16、 disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frase
17、s “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibil
18、idad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembro
19、s de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a
20、 los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2009 Reservados todos los derechos. Ninguna parte de esta pub
21、licacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.1207 (04/2008) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 1 3.1 Software engaoso 1 3.2 Software potencialmente no deseado . 1 3.3 Software espa 1 4 Siglas y acrnimo
22、s 1 5 Convenios . 2 6 Descripcin general 2 7 Objetivos. 3 8 Software engaoso y software espa. 3 9 Por qu hay que preocuparse por los efectos del software engaoso y del software espa? 3 10 Recomendaciones . 4 11 Directrices para los proveedores de servicios de telecomunicaciones (TSP). 4 11.1 Gestin
23、de riesgos para la seguridad de la informacin en las empresas. 4 11.2 Requisitos de seguridad para los servicios de alojamiento de pginas web. 6 11.3 Orientacin para la seguridad de los usuarios 8 Apndice I Otros recursos. 10 I.1 Referencias en lnea sobre seguridad y antdotos contra el software espa
24、 10 Bibliografa 13 Rec. UIT-T X.1207 (04/2008) 1 Recomendacin UIT-T X.1207 Directrices para los proveedores de servicios de telecomunicaciones acerca del riesgo de programas espas y de software potencialmente no deseado 1 Alcance Esta Recomendacin forma parte de un conjunto de directrices publicadas
25、 por el UIT-T con miras a mejorar el estado de la ciberseguridad. Cubre las prcticas y los requisitos bsicos que han de seguir los proveedores de servicios de telecomunicaciones (TSP, telecommunication service providers) y los usuarios, concentrndose en aspectos relacionados con el software espa y o
26、tro software potencialmente no deseado, que puede ser malicioso y/o engaoso. En esta Recomendacin se entiende por proveedores de servicios de telecomunicaciones los TSP que ofrecen servicios relacionados con Internet, especialmente el alojamiento de sitios web de empresas y el acceso Internet de usu
27、arios. 2 Referencias Ninguna. 3 Definiciones La expresin software espa (spyware) se utiliza de una manera muy general para referirse a numerosas formas de software que presentan ciertos comportamientos violatorios de la privacidad que no son solicitados por el usuario. En aras de la coherencia, se s
28、uministra a continuacin una definicin del software espa y del software engaoso. 3.1 Software engaoso Software que realiza actividades en el computador de un usuario sin antes: 1) informarle exactamente qu va a hacer en l, ni 2) preguntarle si acepta que lo haga. Algunos ejemplos de software engaoso
29、son los programas que secuestran las configuraciones o los programas de usuario, provocando una serie interminable de ventanas de publicidad que el usuario no puede interrumpir fcilmente. 3.2 Software potencialmente no deseado Se refiere a varias formas de software engaoso, incluidos el software mal
30、intencionado, por ejemplo los virus, los gusanos de red y los caballos de Troya, y el que no es malintencionado pero tiene caractersticas de software engaoso y espa. 3.3 Software espa Se define en esta Recomendacin como un tipo particular de software engaoso que recolecta en un computador informacin
31、 personal del usuario. Esta informacin puede incluir la lista de sitios web ms visitados, o informacin ms delicada, como las contraseas. 4 Siglas y acrnimos En esta Recomendacin se utilizan las siguientes siglas y acrnimos: EIEI Equipo de intervencin en caso de emergencia informtica EIII Equipo de i
32、ntervencin en caso de incidente informtico FSI Fabricante de software independiente 2 Rec. UIT-T X.1207 (04/2008) SGSI Sistema de gestin de la seguridad de la informacin SGSI-T Sistema de gestin de la seguridad de la informacin Requisitos para las telecomunicaciones SQL Lenguaje de indagacin estruct
33、urado (structured Quero language) TIC Tecnologas de la informacin y la comunicacin TSP Proveedor de servicios de telecomunicaciones (telecommunication service provider) URI Identificador uniforme de recursos (uniform resource identifier) 5 Convenios Ninguno. 6 Descripcin general El auge de Internet
34、ha dado lugar a nuevas actividades comerciales y ha generado mltiples beneficios a los consumidores, tanto en sus hogares como en su trabajo. El carcter inherentemente abierto de Internet, unido a la interconectividad y la velocidad de acceso que proporciona, lo han transformado tambin en una plataf
35、orma eficaz para las comunicaciones de los usuarios y las empresas, al igual que a los efectos de los mercados de masas. Recientemente, el carcter abierto de Internet, su facilidad de comunicacin y su conectividad, han sido utilizados por ciberdelincuentes y por compaas sin escrpulos, valindose de d
36、iversos tipos de software malintencionado, para obtener beneficios financieros u otros propsitos ilegales. El software espa y engaoso es uno de los problemas de seguridad cada vez ms omnipresentes, que causa prdidas importantes de productividad y hace que los usuarios pierdan confianza en los negoci
37、os legtimos a travs de Internet. Con frecuencia, varias de las partes implicadas, especialmente los reguladores y los clientes empresariales, exigen a los proveedores de servicios de telecomunicaciones que proporcionen servicios Internet seguros a los usuarios (incluyendo los domsticos y los empresa
38、riales). Cuando se detecta que un sitio web localizado en la red de un TSP alberga contenidos malintencionados, incluidos los software espas o engaosos, que afectan la seguridad de los sistemas de los computadores de los usuarios, se solicita la ayuda del TSP, y toda aparicin prolongada o recurrente
39、 de dichos incidentes afecta la confianza en la capacidad del TSP para ofrecer servicios seguros, con lo cual los consumidores podran migrar hacia otros proveedores. Desde una ptica reglamentaria, los reguladores de varios pases estn solicitando garantas a los TSP sobre las medidas de seguridad que
40、hayan tomado, y les estn sugiriendo que mejoren la asesora que ofrecen a los clientes en materia de utilizacin segura de Internet. Teniendo en mente los cambios mencionados en la esfera de seguridad del entorno Internet, es fundamental que los TSP adopten una serie de prcticas idneas, que puedan ser
41、 reconocidas como una base mnima en el sector1, que garantice la prestacin segura de los servicios Internet del TSP, y fomenten unas prcticas al respecto que deban seguir los usuarios de sus redes. Al poner en marcha las prcticas ptimas, el TSP demostrar a los reguladores y a los usuarios que se aco
42、ge a las prcticas ptimas aceptadas en el sector, mejorando, o manteniendo, la confianza de ambos en la seguridad de sus redes y servicios. _ 1Actualmente, no existe una base mnima de prcticas idneas y con esta Recomendacin se pretende colmar dicha carencia. Rec. UIT-T X.1207 (04/2008) 3 7 Objetivos
43、Esta Recomendacin tiene como fin: 1) fomentar la utilizacin de prcticas idneas que se articulen en principios de claridad de la informacin, consentimiento del usuario y controles de usuario para los servicios web; y 2) fomentar prcticas idneas (a travs de los TSP) en materia de la utilizacin segura
44、por parte de los usuarios residenciales de los computadores y de Internet, incluyendo el empleo de antivirus, programas contra el software espa, cortafuegos personales y actualizaciones automticas de seguridad. 8 Software engaoso y software espa Los programas de software engaoso (incluidos los espas
45、) se distinguen de las aplicaciones legtimas porque en ellos no se notifica al usuario ni ste tiene poder de decisin. Es importante anotar que si hubiera transparencia, si el usuario tuviera el control y pudiera dar su autorizacin, muchas de las funciones ejecutadas por el software engaoso/espa podr
46、a producir beneficios para el usuario. Por ejemplo, es posible que dichos programas permitan la personalizacin de servicios, activen cambios de configuracin aprobados por el usuario y presenten publicidad aprobada, lo que a su vez podra permitir subsidiar el costo de ciertos servicios de gran valor
47、aadido, tales como el correo electrnico. En sntesis, el software engaoso no es tanto un problema tecnolgico como uno provocado por comportamientos engaosos o fraudulentos. Tanto en el mbito mundial como en el local, el software engaoso y el software espa se han convertido en asuntos de primera lnea
48、para los gobiernos, el sector y los consumidores, que traspasan la esfera de asuntos de “poltica TIC“. Si bien es evidente que el software engaoso se vale de Internet y de los computadores como sus medios, sigue siendo sobre todo un problema de proteccin del consumidor que se deriva de un comportami
49、ento engaoso. 9 Por qu hay que preocuparse por los efectos del software engaoso y del software espa? Desde el punto de vista del consumidor, este tipo de software perjudica la experiencia computacional y/o en lnea del usuario (a veces, hasta el punto de hacer inutilizable el computador) y genera un sentim
