Categoría : Bolivia

Inicio/Archivo por Categoría Bolivia

Ethical Hacking Consultores en “El InkaHack 2016 – Cusco, Perú”

gonzalo

Tuvimos el agrado de participar en el Evento InkaHack 2016 el cual se llevo a cabo los días 08 y 09 de Julio en la Ciudad de Cusco de Perú. Nuestro delegado especial fue Gonzalo Nina; Especialista en Seguridad Informática y miembro de la familia de EHC.

Gonzalo fue aclamado durante el evento al ganar el Primer Lugar del CTF de Null-life, un reconocido grupo de seguridad en Latinoamérica.

Gonzalo Nina, tuvo el honor de dictar una charla durante el evento la cual se llamo “Pentesting” let the game begin”.

Acá les dejamos un pequeño resumen del contenido de la charla:

Muchos tipos de empresas necesitan realizar una evaluación de seguridad técnica (pentesting), esta charla esta enfocada en los pasos que se realizan así como el uso de técnicas y herramientas para cumplir con el objetivo. Así también se enfocó en presentar una herramienta para realizar ciertas tareas relacionadas al pentesting como la extracción de metadatos de una web y el de scanning de puertos de una IP, estas tareas mediante un bot de telegram que pronto estará disponible.

 

ponentes

Ponentes del InkaHack 2016 (Gonzalo Nina: Segundo de Izq. a Derecha)

palestra

Palestra del InkaHack 2016

Bolivia parte del Latam Tour OWASP 2015

Una noticia que me alegro bastante y me siento orgulloso de publicarla es que este año a diferencia de los anteriores, la comunidad de OWASP Bolivia se ha organizado bastante bien con una excelente estructura y calidad de ponencias donde se ve claramente que a crecido el interés en la comunidad de participar en este tipo de temas que a pesar de los años todavía siguen siendo muy importantes para algunos y poco o nada importante para otros que al final son los que mas lo necesitan.

Como una pequeña introducción obligada para los nuevos, tengo que decir que OWASP es un proyecto de código abierto que tiene bastantes años de aportar a la seguridad del software y con excelentes profesionales de la seguridad que se tomaron el tiempo de compartir con la comunidad sus conocimientos.

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo relacionados con la seguridad informática. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Entre los expositores  destacados que conozco participan de esta gestión y sin ánimo de hacer algún desmerito a los que todavía no tuve el gusto de conocer, están:

Gonzalo Nina Mamani
“Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web”

Cristhian Lima Saravia
“Framework Pleni”

Erick Calderon Mostajo
“Herramientas de Aprendizaje OWASP”

Y desde Colombia participa nuestro amigo Jacobo Tibaquira a quien desde Pereira le tenía prometido un viaje a Santa Cruz del cual estoy seguro ahora que con la calidad del pueblo cruceño y de todos los bolivianos que participarán del evento, se llevará un recuerdo inolvidable de nuestra hermosa tierra.

Jacobo Tibaquira
Atacando al atacante (DRAGON JAR)

A continuación les dejo el programa para todos lo que estén interesados en participar de este excelente evento y el enlace a la web oficial para que puedan encontrar mayor información al respecto.

OWASP LATAM 2015 – BOLIVIA

Viernes 17 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Registro – Acreditación
08:30 – 09:00 Video: Mundo Hacker – Proyecto OWASP
09:00 – 09:50 Jaime Iván Mendoza Ribera Análisis de vulnerabilidades web Santa Cruz, Bolivia
09:50 – 10:40 Cesar Roberto Cuenca Díaz Desarrollo Seguro Principios y Buenas Prácticas. La Paz, Bolivia
10:40 – 11:30 Juan Pablo Barriga Sapiencia Riegos en TI Sucre, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Walter Camama Menacho MiTM a nivel de browser con beef y metasploit Trinidad, Bolivia
12:50 – 13:40 Leonardo Camilo Quenta Alarcon Seguridad en sistemas financieros. Buenas prácticas de programación y aplicación de pruebas de penetración OWASP La Paz , Bolivia
13:40 – 14:30 Deyvi Bustamante Perez Exploit development Sucre , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Gonzalo Nina Mamani Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web Cochabamba , Bolivia
15:50 – 16:40 Hernán Marcelo Leytón Balderrama Seguridad en los Satélites de Comunicación Potosí, Bolivia
16:40 – 17:30 Juan Alberto Fajardo Canaza WAF Testing Framework Potosí, Bolivia

Sabado 18 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Acreditación
09:00 – 09:50 Alex Villegas y Roller Ibanez Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 Cochabamba, Bolivia
09:50 – 10:40 Richard Villca Apaza Rompiendo el modelo de negocios: Debugging Android Apps La Paz, Bolivia
10:40 – 11:30 Cristhian Lima Saravia Framework Pleni Cochabamba, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Elvin Vidal Mollinedo Mencia Los 7 pecados de un desarrollador Web Santa Cruz, Bolivia
12:50 – 13:40 Alvaro Machaca Tola Análisis de riesgos aplicando la metodología OWASP La Paz , Bolivia
13:40 – 14:30 Erick Calderon Mostajo Herramientas de Aprendizaje OWASP La Paz , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Daniel Torres Sandi Headers seguros en HTTP Sucre , Bolivia
15:50 – 16:50 Gabriel Labrada Hernandez (INTEL MEXICO) Seguridad en Hardware y los servicios en la nube Mexico
16:50 – 17:50 Jacobo Tibaquira Atacando al atacante (DRAGON JAR) Colombia

La sede de este evento será la prestigiosa Universidad NUR, quien hace bastante años a la cabeza de un grupo de investigadores de seguridad han aportado con este tipo de eventos.

 Owasp Univ

Este artículo fue propuesto por nuestro amigo Cesar Roberto Cuenca Díaz quien dará también una conferencia en el evento sobre “Desarrollo Seguro Principios y Buenas Prácticas“.

Este año estamos bastante ocupados con proyectos fuertes en la empresa y en varios países incursionando en Europa y Asia, pero tenemos como una de las metas para el 2016 volver a Bolivia para participar del OWASP 2016 ya sea como Community SupportersSupporting Partners para compartir con la comunidad nuestras investigaciones y aportes.

Feliz OWASP 2016, que lo disfruten y aprendan bastante de la Comunidad.

Asesoria legal a hackers

El derecho es como un manual de comportamiento en una sociedad llena de mentes libres e impredecibles, el cual es necesario para incorporar un marco regulatorio visible para todos los ciudadanos de un determinado Estado.

Sin embargo el ser humano se caracteriza por recorrer caminos sin asfalto, es decir, se encuentra inmerso en nosotros el instinto de descubrimiento, de innovación y es ahí donde el derecho no alcanza, por que la tecnología y los nuevos modos de comportarnos recién se están consolidando como actos repetitivos, actos que poco a poco se van aceptando socialmente, y resultante de todo este proceso social de manera gradual podremos hablar de costumbre tecnológica, normas de trato social virtuales, y todos aquellos procesos aceptados en consenso que sirven como fuente del derecho.

El derecho no es mas que la fuerza Estatal que apoya estas normas sociales y morales y las dispone en normas jurídicas.

Los sujetos que mas actúan en cuanto a las nuevas tecnologías, son los hackers, aquellos que han logrado comprender el modo de funcionar de las tecnologías y han visto como modificarlas, como mejorarlas y como subsanar los errores.

Mismos sujetos que por falta de educación jurídica podrían avanzar mas allá de donde la norma lo establece y poner en riesgo derechos ajenos.

El 3 de mayo del año cursante, el presente autor se encontrará en la ciudad de Tarija en Bolivia, dando una conferencia sobre delitos informáticos, en la que mas que dar una explicación de delitos informáticos, asesorara a hackers para que de manera general eviten cometer estos ilícitos, y se manejen de manera segura en un campo de trabajo en el cual hay mucho que desarrollar.

Es necesario que se vayan consolidando normas de trato social con el uso de las nuevas tecnologías y compartir una educación integral en cuanto a la normativa, solo de esta manera se podrán ir asentando las bases de una correcta normativa en cuanto a la informática.

 

Protege jurídicamente tus datos, sus datos.

La información es uno de los bienes jurídicos  mas importante del momento para muchos Estados, estos se han dado cuenta de la importancia que tiene la información y la facilidad con la que esta puede ser vulnerada. Como una consecuencia lógica entre importancia y vulneración, se han reconocido derechos y procedimientos para proteger los datos, que son el móvil de la información, en Bolivia durante ya diez años se ha protegido los datos de manera constitucional, y desde noviembre del 2013, se a intentado ir un poco mas lejos con la protección de datos, a continuación explicare un poco mas sobre esta protección.

El año 2004 junto a la Constitución Política del Estado se reconoció el Habeas data, que en Bolivia adopto el nombre de acción de privacidad, en la actual Constitución se encuentra en el art 130 la cual nos faculta como ciudadanos a realizar cuatro acciones:

1 Conocer.- El ciudadano puede exigir  que se le indique que datos posee la empresa o institución publica o privada, esto en el entendido de que se recolectan mayores datos innecesarios, incluso la información no simplemente se hospeda en la empresa, sino que esta obtiene posesión sobre los datos y con esta puede disponerla a terceros.

2 Objetar.- Cuando la información sea falsa, incompleta  o no debería presentarse de manera total o parcial, el sujeto dueño de esta información es capaz de indicar las razones por las que debería ser modificada o eliminada.

3 Eliminar.- Si la información es falsa, o vulnera algún bien jurídico tutelado, no necesariamente el de privacidad, entonces el sujeto podrá solicitar que esta información sea eliminada.

4 Rectificar.- El sujeto activo de la información podrá aprobar la información que contiene la empresa o institución de esta manera se podrá evidenciar que los datos son verídicos y que no infringen los derechos del titular.

Las acciones que se acaban de enunciar serán validas para proteger los datos de las personas, cuando la información violente los siguientes derechos:

1 Intimidad y Privacidad.- A pesar de su diferencia semántica, la normativa Boliviana no hace distinción de estos dos derechos, los engloba como derechos constitucionales y en diversas definiciones se puede llegar a un concepto similar por lo que se entiende de estos dos derechos que son la información de una persona cuyo acceso solo es posible bajo consentimiento del titular para que otras personas lo tengan en conocimiento, la difusión de datos íntimos presuponen la destrucción de la misma.

2 Imagen.- La imagen es un derecho constitucional civil, es parte de la privacidad de un sujeto, si una imagen se encuentra en posesión de una persona jurídica o natural sin el consentimiento del titular o vulnerando su reputación, la presente acción seria recurrente.

3 Honra.- Este derecho se refiere al buen nombre, al estatus.

El procedimiento en teoría dura 24 horas, se convoca a una audiencia, inclusive si la otra parte ya hubiese retirado los datos que vulneran, la audiencia debe llevarse a cabo y se le impone una sanción por el acto cometido.

En el articulo 56 de la presente ley, intenta regular el uso de datos en un solo articulo, pero lo que se debe entender, es que la constitución nos daba la facultad de reclamar la protección de nuestros datos, mientras que esta ley 1793 declara las obligaciones que tienen los terceros sobre nuestros datos.

a) Poner en conocimiento.- Toda las acciones que se tome en el sector publico o privado con referencia a los datos, deberán ser informados al titular.

En España surgió la famosa ley de cookies, en la que todas las paginas web de España o cuya razón social tenga efectos en España, debían informar sobre el tratamiento que se realizaba sobre sus cookies.

De manera tacita, las paginas web en Bolivia, que recolecten información, las conserven o procesen, de igual manera deberían indicarlo dentro de sus políticas de seguridad, caso contrario estarían desobedeciendo sus obligaciones impuestas por ley.

b) Solicitar consentimiento.- Esta es posiblemente la mayor innovación que existe en cuanto al tratamiento de los datos, pues ahora para dispones de la información de un tercero, sera necesario solicitar permiso del titular.

¿Quienes tienen información nuestra y que hacen con ella? si la venden, ¿Que interés tienen?

Es lógico, que en casos que se la requiera mediante orden judicial o fiscal, no sera necesario nuestro consentimiento, pero es un gran avance para hacer un seguimiento de a donde va nuestra información.

c) Seguridad material.- De esta manera nombro al inciso en el cual obliga al responsable de los datos a adoptar medidas técnicas que garanticen la seguridad informática de los datos, es decir dar la seguridad de que los datos no han sido eliminados, alterados y mucho menos crackeados.

  • Actualmente en la normativa Boliviana existen derechos para reclamar la protección de nuestros datos, el procedimiento constitucional es rápido y eficaz.
  • Ahora existen obligaciones, que sirven como estrategias de derecho preventivo, en el sentido de que el sector publico y privado deberá tratar nuestros datos conforme a ley, mediante las solicitudes de consentimiento y el poner en conocimiento podría reducir bastantes conflictos jurídico ulteriores
  • Es un avance en el desarrollo y contratación de paginas web, puesto que enmarca directrices básicas para temas de aviso de uso de información (las cookies se encuentran incluidas) y son temas concernientes al computo en la nube y  comercio electrónico.
  • Sin embargo es un tema muy amplio como para desarrollarse en un solo articulo dividido en 5 incisos, lo cual lo deja muy general,  le quita la seriedad y tutela correspondiente. Deja vacíos como “el limite de recolección” es decir: la información que se recolecte debe ser relevante para los propósitos de la recolección.
  • La ley 1793 al reconocer obligaciones, deberá tener un procedimiento administrativo, el cual se dará a conocer  en abril del presente año, lo cual podría ser un retroceso, puesto que este procedimiento podría generar mayor burocracia, y deberá ser aplicado en preferencia del procedimiento constitucional ya que este solo se acciona después de haber agotado todas las anteriores vías.

 

Análisis sobre la resolución de impuestos al comercio electrónico.

El 20 de diciembre del 2013 se emitió en Bolivia la resolución normativa de directorio Nº 10-0044-13, la cual regula la tributación al momento de vender bienes por comercio electrónico.

Esta disposición innova:

En su articulo 4, que se debe agregar el precio del valor agregado, y si existieren costos adicionales se agregara en la factura o nota fiscal.

En su articulo 5, indica que se debe expedir una factura o nota fiscal de manera electrónica y entregarla al comprador junto al producto.  (Este tema relativo a la facturación electrónica, es un tema mas complejo, puesto que tiene todo un reglamento recién aprobado, y para un análisis propio, se lo explicara en una publicación posterior)

En el articulo 7 se incluye la novedad de mostrar el NIT dentro de la plataforma web de comercio electrónico.

Son novedades porque nunca antes se había mencionado esas solemnidades al momento de vender por Internet, pero a mi criterio es algo indispensable al momento de darse estas relaciones jurídicas sin importar que sea comercio electrónico.

 Criticas del ciudadano de a pie.

Hace unos días, dialogando esta normativa con ciudadanos de a pie, fue interesante escuchar la opinión de que no les parecía necesario, e incluso es una normativa inútil, puesto que la autoridad de impuestos no podría revisar cada una de las paginas web hospedadas en Bolivia, por lo que es una norma mas que se promulga por promulgar.

 Estas opiniones son muy interesantes y a la vez muy ciertas, puesto que la autoridad de impuestos no se tomaría el tiempo para revisar cada una de las paginas que realizan este servicio, a pesar de ser pocas, sin embargo esta normativa a mi criterio cumple otros fines y son los de la prevención primaria, es decir evitar conflictos jurídicos posteriores.

 ¿En que nos beneficia esta resolución?

 Cuando indico que nos ayuda en la prevención primaria me refiero a que reducirá el comercio informal electrónico, (para ver un poco sobre el comercio informal pueden entrar a leer ese breve articulo), pero para el tema concreto, el comercio informal, es la venta de bienes y servicios, sin que estas empresas o comerciantes se encuentren registrados de manera legal en las instancias competentes, se puede concebir el comercio informal en el mundo físico, y con toda tranquilidad se lo debe conocer en el ciberespacio, puesto que se podría manejar de mala fe una plataforma de comercio electrónico, uno puede ocultarse detrás de una pantalla y esta ser usada para realizar estafas al consumidor, no tenemos certeza de quien nos esta ofreciendo servicios y productos.

La presente resolución les pide mostrar su numero de inscripción tributaria, por lo que entendemos que el sujeto al otro lado de la pantalla es una persona jurídicamente identificable.

 Recomendaciones:

Estamos viviendo una revolución tecnológica, tenemos muchos retos por vencer todavía en el uso de la tecnología, el comercio electrónico tiene mucho futuro y de manera legal ya estamos obteniendo herramientas para desarrollarlo, por lo que, sugiero a los diversos vendedores digitales, que independiente de si Impuestos Nacionales revisara pagina por pagina del Internet, siempre es necesario que la plataforma de comercio electrónico tenga de manera visible su NIT y su certificación de Funda Empresa, para que de esta manera el consumidor confíe en la pagina, esto lo beneficia puesto que adquirirá mayores clientes por la legitimidad de la pagina.

Y una ultima recomendación es que siga la norma tributaria y emita factura, no olvide que una multa emitida por Impuestos Nacionales se puede realizar de oficio y por denuncia de cualquier ciudadano que se sienta vulnerado, en el comercio convencional no es nuevo que la competencia denuncie a determinadas empresas para que estas se retiren den el mercado, inclusive  les sorprendería cuantos casos de denuncias por no emitir facturas se emiten en todo un año.

Presidente Evo Morales llega a China hoy para el lanzamiento del satélite boliviano Túpac Katari

Viendo las noticias de Bolivia, hoy me enteré que el presidente Evo Morales viajo llego a China con una comitiva para participar del lanzamiento del Primer Satélite boliviano Túpac Katari el día viernes 19 de diciembre del presente.

Según varios reportes en Internet, Evo Morales se trasladará al centro de la ciudad de Beijing para cumplir actividades protocolares en el país asiático, previo al lanzamiento del satélite boliviano.

Desde mi punto de vista estoy seguro que si todo funciona como tiene que funcionar y el gobierno boliviano explota las facilidades y bondades de este satélite en pro del pueblo boliviano, se verán muchas ventajas en los próximos años empezando por el descenso de las tarifas en telecomunicaciones ya que Bolivia es el país mas caro del mundo en telecomunicaciones.

Por otro lado deberíamos ver un descenso de las tarifas en televisión por cable, Internet, celulares y otros servicios que vendrá a facilitar este satélite.

Hasta entonces solo queda esperar las buenas noticias como resultado de este proyecto.

Continuar leyendo