Campo de Ia invención

La presente invención se engloba dentro del campo de los" dispositivos de almacenamiento masivo (tales como discos USB, CDs, DVDs, pendrives, tarjetas de memoria SD, etc.), y más en concreto en aquellos dispositivos con capacidad para conectarse a cualquier ordenador y ejecutar un sistema operativo y manejar datos instalados en el propio dispositivo de forma segura e independientemente del tipo de ordenador y el sistema operativo que tenga el mismo instalado; esto es, dispositivos con capacidad para utilizar únicamente los recursos hardware del ordenador.

Antecedentes de Ia invención

Actualmente, son diversas las amenazas a las que se enfrentan los sistemas informáticos, tanto a nivel corporativo como a nivel particular. Después de los virus, algunas de las amenazas más importantes son el acceso ilegítimo a Ia información y el robo de Ia misma o incluso del hardware que Ia almacena.

Los entornos PC y las redes de comunicaciones, aunque suelen disponer de múltiples sistemas de seguridad a nivel perimetral, están expuestos a múltiples amenazas debido al uso continuado de los equipos por parte de los usuarios e incluso a los propios cambios de configuración por parte de los administradores de sistemas.

Estos hechos -normales en cualquier entorno que evoluciona con el tiempo- pueden, en algún momento, ir dejando puertas abiertas que sean aprovechadas por las múltiples amenazas existentes. Pero además, si nos referimos a los equipos particulares de los usuarios, que eventualmente puedan utilizarse en entornos de teletrabajo, estas mismas amenazas se agravan aún más debido a Ia flaqueza o incluso carencia de medidas de seguridad y defensa.

En todos estos casos, cualquier programa que se ejecute, aunque se aporten distintas funcionalidades de seguridad, Io hará sobre una plataforma que, en ese momento, puede ser potencialmente inestable e insegura. Como mínimo, son plataformas de las que desconocemos su grado de fortaleza y seguridad, y que son por tanto, carentes de confianza.

En este sentido, surge Ia necesidad de conseguir un entorno de trabajo seguro que se pueda mantener inalterable con el tiempo, además de ser independiente del equipo sobre el que se esté trabajando, permitiendo trabajar de forma segura incluso en aquellos equipos que estén expuestos de forma continua a todo tipo de amenazas informáticas.

Hoy día, es necesaria Ia movilidad para el negocio de las compañías, por Io que existe un nuevo tipo de usuario que es el usuario móvil, cada vez más común en diferentes niveles corporativos, siendo los directivos y comerciales los más afectados.

Este perfil de usuario móvil, sufre nuevas amenazas propias de su rol, muchas de las cuales no existían en los entornos de los usuarios tradicionales, y las más específicas son Ia pérdida y/o robo de información en equipos portátiles o Ia fuga de información sensible.

Otra serie de amenazas, son comunes tanto a usuarios móviles como a los tradicionales. No obstante, las soluciones que protegen a los usuarios estáticos como antivirus, firewalls, IDS, IPS, no sirven de nada una vez que el usuario se encuentra fuera de nuestra red y se conecta a Internet aunque después vaya a conectar con nuestro servidor de VPNs (red privada virtual, 'Virtual Prívate Network') y lleven un firewall personal porque pierden efectividad una vez fuera del entorno corporativo.

Entre dichos riesgos cabe destacar: _s

- Robo de Información: Mediante el envío de documentos" confidenciales o información estratégica de Ia compañía por e-mail, su copia o grabación en CD's, memorias USB ₁ etc.

- Robo físico o pérdida de equipos portátiles: con posible pérdida de información sensible y confidencial.

- Suplantación de Identidad: mediante el robo de contraseñas sensibles por phising o pharming en entornos web falsificados extraídos de equipos portátiles sustraídos.

- Virus y malware: en ocasiones, con acceso incluso a través de VPN a datos corporativos.

- Ataques de denegación de servicio.

- Alto riesgo de explotación de vulnerabilidades y robo de datos.

- Cambios no autorizados de configuraciones de acceso corporativo: El usuario tiene un problema y a veces tiende a procurarse él mismo una solución que no siempre es suficientemente válida desde el punto de vista de seguridad y que desgraciadamente puede acarrear consecuencias no deseadas.

- Instalación de software no autorizado en los puntos de acceso, software que puede impactar -incluso aunque no se trate de malware- en el comportamiento del sistema, rendimiento, ocupación de ancho de banda de comunicaciones, o que puede ser incluso malware o spyware que pueda estar sustrayendo, eliminando información o simplemente saboteando nuestra organización.

Todos estos nuevos riesgos, a su vez, traen consigo sus propias consecuencias, que hacen perder dinero, productividad y a veces incluso imagen de marca y prestigio, pero sobre todo destacan las siguientes consecuencias:

• Alto número de incidencias én el centro de atención al usuario (CAU), con sus correspondientes costes.

• Pérdida de productividad de los colaboradores/empleados, quienes acaban empleando a veces más tiempo en hacer que sus herramientas funcionen, que en las labores propias.

• Pérdidas difícilmente cuantificables: en ocasiones algunas de estas incidencias, como los ataques de denegación de servicio, el phising o el robo y suplantación de identidades pueden provocar pérdidas y daños a veces irreparables.

Por tanto los problemas a resolver son los siguientes:

Protección contra Robo y Fuga de información confidencial, para Io cual se utiliza tecnologías de cifrado lógico y físico y restricciones en el núcleo del sistema operativo que impiden Ia mayoría de las técnicas de ataques convencionales.

Protección frente a virus, malware y spyware del puesto de trabajo, mediante el fortalecimiento del núcleo del sistema operativo y mediante Ia tecnología de Snapshot, que recupera una imagen fresca del sistema cada vez que se reinicia, perdiéndose cualquier actuación de un eventual virus o spyware.

Protección contra Ia suplantación de identidad, mediante el uso de autenticación mediante tokens, e-DNI, tarjetas criptográficas, huellas dactilares, etc., y mediante Ia obligatoriedad de una autenticación previa al arranque del sistema operativo. - Cumplimiento de las leyes de protección de datos gracias al uso de las tecnologías de cifrado físico y lógico de Ia información. Gracias a Ia tecnología de cifrado ₍ de información todo el contenido de los medios estará cifrado mediante uno o dos algoritmos (cifrado físico, lógico, o ambos) de 256 bits de fortaleza.

Reducción dejas incidencias de centro de atención al usuario (CAU) como consecuencia inmediata de todas las anteriores medidas de seguridad adoptadas. - Racionalización del uso de ancho de banda y transferencia de datos en líneas móviles y dedicadas, mediante Ia limitación del uso de ancho de banda de cada usuario a nivel de núcleo de sistema operativo, mediante Ia ausencia de spyware, virus, etc. en los equipos también se ahorra un importante porcentaje del ancho de banda usado por los puestos de trabajo, mediante Ia imposibilidad del uso de software P2P (eMule, etc.) por parte de los usuarios. Proporcionar dispositivos que sean capaces de generar un entorno seguro y controlado de trabajo y de conexión.

Los beneficios más inmediatos se traducen básicamente en reducción de costes de mantenimiento y operación, costes de telecomunicaciones fijas y móviles, y en fuertes aumentos de Ia productividad de sus empleados.

Además, existen ventajas y beneficios añadidos, aunque más difíciles de medir, como que al garantizarse Ia privacidad de Ia información, se crean barreras realmente difíciles de franquear para ejercer el espionaje industrial y el robo de información.

Actualmente existen soluciones en el mercado que resuelven algunos de los problemas anteriores. Sin embargo, las soluciones existentes están muy cerradas en cuanto a incluir nuevas aplicaciones o llevar a cabo personalizaciones del entorno del usuario, y están orientadas a un entorno muy horizontal dejando al margen muchos de los requisitos y necesidades de las corporaciones. La principal diferencia entre las soluciones de mercado está relacionada con el contenido del paquete personalizado del usuario. Algunas soluciones solamente incluyen una aplicación o dos, típicamente a través de un software que establece una conexión de acceso remoto seguro

(autenticación y cifrado de las comunicaciones) y no almacenan datos locales.

Soluciones de este tipo son Sun ^' s SunRay y Microsoft Roaming User profiles (acceso seguro a Intraήets en roaming), Citrix, Microsoft Terminal Server MobiKey y Red Cannon (con foco en acceso remoto seguro).

Otras soluciones empaquetan un pequeño entorno con un conjunto de aplicaciones reducido y Ia capacidad de almacenamiento local. El documento de patente WO2007/036935 de Ceedo Technologies (2005) LTD suministra tecnología de virtualización de sistemas Windows, permitiendo almacenar el entorno de trabajo del cliente en un dispositivo portable de tipo memoria USB, PCs de bolsillo y dispositivos móviles. Pero las aplicaciones soportadas requieren cierta integración con Ia herramienta y por Io tanto existen bastantes limitaciones en cuanto a Ia inclusión de las mismas.

Algunos fabricantes han integrado una virtualización reducida de Windows para poder soportar algunas aplicaciones Windows sin requerir una copia de Windows, como es el caso de MojoPac (www.mojopac.com), que divulga una herramienta que suministra una aplicación de virtualización, Ia cual permite disponer de un escritorio de trabajo en cualquier PC enchufando directamente un disco USB.

Algunas soluciones como Sentillion o Vmware crean una máquina virtual completa para tener una mayor flexibilidad, pero tienen el problema de requerir licencias adicionales de Windows, además de ser bastante vulnerables en temas de seguridad. Por último existen algunas soluciones y pruebas de concepto desarrolladas que incluyen una CPU y memoria local en Ia propia solución como es el caso de Realm Systems ^' Project BlackDog basada en un procesador PowerPC.

Por otro lado Ia herramienta Mobiu ("www.thekeyrevolution.com") proporciona una llave USB de 1 GB de memoria flash segura, con funcionalidades de backup y acceso remoto. Incluye aplicaciones específicas para generar un entorno de trabajo: aplicaciones de gestión documental, tratamiento de ficheros, procesadores de texto, Firefox, Pdf reader, ZIP software.

Descripción de Ia invención

La presente invención soluciona los problemas anteriormente mencionados, mediante Ia creación de un entorno seguro. Las características de Ia presente invención son las siguientes:

- Está basada en un sistema operativo auto-contenido y autoejecutable residente en un dispositivo de almacenamiento masivo de datos (como por ejemplo un CD, DVD, disco duro USB, USB Flash, tarjetas de memoria SD, teléfono móvil con soporte de tarjetas de memoria, teléfono móvil basado en Android, PDA, módem 3G con soporte para tarjetas de memoria, tarjeta criptográfica, etc.), específicos para cada entorno según las necesidades concretas de cada uno de ellos y para cada organización. Por tanto, los dispositivos utilizados son fácilmente portables, facilitando su distribución, y permiten su utilización sobre cualquier equipo PC o portátil.

- Los documentos y software almacenados en el dispositivo se mantendrán siempre cifrados, de forma que sea necesaria una autenticación previa para permitir el acceso.

- Existen varios modos de funcionamiento o métodos de uso posible, en función de las características del PC o dispositivo donde se quiera utilizar el sistema:

• Arranque en frío (autoboot): Cuando se arranca un ordenador con el dispositivo de almacenamiento conectado, se levanta un sistema operativo de solo lectura, mínimo, seguro y con el software necesario para el acceso a los documentos ya instalado y preconfigurado, de forma que no use ningún recurso del PC anfitrión, exceptuando CPU, y no deje ningún rastro en su memoria o disco duro.

• Arranque en caliente (autorun): Si se conecta el dispositivo a un ordenador con el sistema operativo funcionando, también se lanzará automáticamente el sistema, sin necesidad de reiniciar el PC se levanta el mismo sistema operativo anterior, manteniéndose siempre aislado del sistema operativo del PC anfitrión, pero pudiendo acceder a los mismos datos y aplicaciones.

• Modo online: En algunos casos puede ser recomendable que Ia ejecución de las aplicaciones se haga de forma remota, de esta forma los periféricos de usuario como Ia pantalla, teclado y ratón se utilizan para acceder a un entorno de ejecución remoto, que es donde realmente se realiza el trabajo. Así se permite el uso del sistema en un muy amplio abanico de plataformas, incluyendo móviles.

Como caso específico, donde el dispositivo de almacenamiento y de ejecución es el mismo, se puede distinguir el siguiente modo:

• Modo móvil: En este modo, mediante una ejecución en teléfono móvil, el dispositivo usado para acceder a los datos es el mismo que los almacena, un terminal móvil con Ia capacidad suficiente para lanzar las aplicaciones de forma nativa o como cliente del modo online.

Para ello se ha creado un kernel portable multisistema, personalizando y adaptando un núcleo de sistema operativo basado en Linux, con mejoras en los aspectos de seguridad, para ser usado en el caso de arranque en frío. También se ha adaptado el núcleo anterior para permitir su ejecución nativa sobre un sistema operativo anfitrión Windows (arranque en caliente), y se ha adaptado dicho núcleo a un entorno de ejecución virtual masiva, para hacer frente a las necesidades específicas del modo online de ejecución. Se ha personalizado y adaptado un núcleo de sistema operativo basado en Android, para su uso en teléfonos móviles compatibles, permitiendo así el funcionamiento del modo móvil. Por tanto, se ha desarrollado un sistema de Kernel portable multi-sistema que puede ejecutarse directamente, sobre Windows o desde un terminal móvil.

- En cualquiera de los métodos de funcionamiento, durante el arranque se solicita al usuario una contraseña u otro tipo de autenticación, de forma que sin superar ese paso no sea posible ni el arranque del sistema, ni el acceso a los datos almacenados. Como métodos alternativos al uso de ^' contraseñas se encuentran el uso de tarjetas inteligentes, DNI electrónicQ O dispositivos biométricos.

- En todos los modos de arranque, el sistema operativo lanzado está especialmente modificado para hacerlo seguro, impidiéndose el acceso del usuario a partes no autorizadas, e impidiendo también cualquier alteración del sistema: El usuario no puede instalar ni eliminar software, ni ejecutar ninguna aplicación no prevista inicialmente.

- Las comunicaciones son también una parte muy importante del sistema, se soportan de forma transparente comunicaciones a través de Ethernet, Wifi, y módems 3G. También se incluyen clientes para los principales fabricantes de soluciones VPN, como Cisco o Juniper.

- El sistema dispone de un cortafuegos configurable e integrado que impide cualquier comunicación con sistemas no previstos, de forma que si el administrador del sistema así Io desea, puede permitir las comunicaciones únicamente con sus servidores, impidiendo así que el usuario pueda entrar en contacto con sitios que alojen malware, o que pueda incluso filtrar información a terceros.

- El dispositivo toma el control del procesador y Ia memoria del equipo sobre el que se ejecute y no es necesario realizar accesos al disco duro del equipo.

- El dispositivo proporciona espacio de almacenamiento para datos, protegiendo los mismos, mediante mecanismos de cifrado. Si se considera necesario toda Ia información de trabajo utilizada se almacenará cifrada.

- El sistema está protegido contra copias no autorizadas.

- Garantiza el acceso seguro a direcciones y puertos únicos de aplicaciones web, entornos cliente-servidor, Citrix, Terminal Server, VPNs, etc. y todo tipo de aplicaciones predefinidas.

- El sistema operativo arranca en memoria RAM, de manera inviolable para las amenazas de estos entornos, ya sean Internet/Intranet, virus, gusanos, spyware, etc. Se trata de un sistema auto-contenido, en el que se arranca el sistema operativo, se cuenta con Ia conectividad precisa -y nada más-, las aplicaciones necesarias, mínimas e imprescindibles, bajo el paraguas de un sistema operativo fortificado y hecho a medida para Ia solución concreta del cliente.

- Proporciona acceso desde cualquier PC o laptop, convirtiendo el hardware en un medio de acceso físico a Ia información (una 'commodity'), por Io que el usuario puede viajar con el disco USB o el CD en el bolsillo y usar un laptop o un PC fijo en Ia ubicación de destino, ya sea una delegación remota, un ciber-café o su propio hogar. Si se estropea un ordenador, se puede usar otro distinto, ahora el puesto de trabajo viaja en el bolsillo del usuario.

- Garantiza que, aunque el usuario perdiera el soporte -CD/DVD o USB disk/flash- con su sistema operativo, aplicaciones e incluso con su información confidencial, gracias a los cifrados físico y lógico, no se van a producir fugas de información fuera de Ia organización. De hecho, acompañando el cifrado con configuraciones de alta seguridad opcionales como Ia autenticación mediante e-DNI, token criptográfico o smart-card, Io hacen aún más robusto. De esta manera Ia pérdida física de equipos se queda meramente en eso, una pérdida de un bien físico, ya que Ia información queda salvaguardada gracias al cifrado físico y lógico de Ia información.

- Configuración automática de las comunicaciones (puertos, Internet, etc.) de forma transparente al usuario.

En cuanto al despliegue del sistema, se incluye una consola web de generación de dispositivos, consola en Ia que el administrador de sistemas, o incluso el propio usuario, si así se desea, puede definir exactamente qué aplicaciones y características concretas desea incluir en su dispositivo. Esta consola permite configurar y definir todas las características del sistema, y deja como resultado un fichero que puede ser volcado al dispositivo físico que se deseé, con Ia ayuda de una herramienta adecuada. Esta consola puede funcionar en modo auto-provisioning, de forma que el propio usuario define, descarga y vuelca al dispositivo físico Ia imagen de su sistema. Por último, el sistema incluye también una consola web de gestión de dispositivos que permite controlar y administrar todos los dispositivos disponibles. Desde aquí, el administrador del sistema puede:

o Instalar, configurar y desinstalar aplicaciones,

o Gestionar certificados de usuario, CA o sitio conocido,

o Definir e imponer las políticas de seguridad deseadas,

o Configurar el cortafuegos del dispositivo.

o Controlar de forma remota Ia pantalla, teclado y ratón del dispositivo.

o Lanzar órdenes de autodestrucción o borrado, en caso de pérdida, robo del dispositivo, o de eliminación de un usuario en el sistema.

Además, el sistema se puede integrar con distintos elementos software o hardware:

- Integración con tarjetas SD criptográficas. Estas son tarjetas SD que integran un chip criptográfico. Su uso garantiza que las claves de cifrado residen en lugar seguro, y no pueden ser extraídas de él.

- Tarjetas inteligentes criptográficas: Como método de autenticación del usuario y almacén de claves para cifrado.

- DNI Electrónico: Como caso particular especialmente interesante de tarjeta ¡nteligente criptográfica.

- Anti Keyloggers: En el caso de que el sistema de lance sobre un sistema operativo anfitrión, existe Ia posibilidad de que este estuviera infectado por alguna clase de keylogger que registre las pulsaciones del teclado, con el consecuente problema de seguridad en el caso de que se use contraseña como método de autenticación. Para paliar este problema se puede incluir software específicamente diseñado para detectar y eliminar keyloggers.

- IBM zTic: El sistema se puede integrar con los dispositivos IBM zTic, un dispositivo de almacenamiento USB que al mismo tiempo captura las comunicaciones con ciertos sitios web, como algunos bancos, y las encapsula en un túnel seguro, evitando así ataques de tipo "man in the middle".

El dispositivo electrónico de generación de entorno seguro objeto de Ia presente invención está configurado para comunicarse con un equipo hardware anfitrión donde se genera el entorno seguro y que incluye medios de almacenamiento de datos, medios de procesamiento de datos y un firmware. El dispositivo electrónico comprende:

- un gestor de carga configurado para, una vez el equipo hardware anfitrión ha detectado el dispositivo electrónico:

• forzar su carga en los medios de almacenamiento de datos;

• obtener, una vez cargado, el control del equipo hardware anfitrión;

• cargar en los medios de almacenamiento de datos un kemel y un sistema de archivos de arranque incluidos en el dispositivo electrónico;

• pasar el control del equipo hardware anfitrión al kernel;

- el kernel (8), configurado para, después de su inicialización automática, pasar el control al sistema de archivos de arranque;

- el sistema de archivos de arranque configurado para:

• cargar en los medios de almacenamiento de datos un programa PBA incluido en el dispositivo electrónico, estando dicho programa PBA encargado de autenticar al usuario y obtener una clave de cifrado;

• descifrar un sistema operativo cifrado incluido en el dispositivo electrónico;

• pasar el control del equipo hardware anfitrión a dicho sistema operativo cifrado;

- el sistema operativo cifrado configurado para:

• descifrar un entorno de trabajo cifrado; • cargar en los medios de almacenamiento de datos un entorno de trabajo cifrado que contiene el entorno de trabajo del usuario incluyendo acceso a datos y aplicaciones previamente almacenados en dicho entorno de trabajo cifrado;

• inicializar un gestor de comunicaciones encargado de habilitar los sistemas de comunicaciones predefinidos y que además estén soportados por el equipo hardware anfitrión.

El dispositivo electrónico es preferiblemente un dispositivo de almacenamiento externo, por ejemplo un disco USB, un CD, un DVD, un pendrive, una tarjeta de memoria SD, un teléfono móvil.

El kernel es preferiblemente una adaptación de un núcleo de sistema operativo basado en Linux.

El equipo hardware anfitrión puede ser un ordenador anfitrión.

El gestor de carga está preferentemente configurado para, en el caso de que el ordenador anfitrión disponga de un sistema operativo anfitrión activo, cargar en los medios de almacenamiento de datos un anti-keylogger para evitar que software espía preexistente en el sistema operativo anfitrión pueda capturar las pulsaciones de teclado del ordenador anfitrión.

El dispositivo electrónico y el equipo hardware anfitrión pueden estar incluidos en un mismo dispositivo móvil. En este caso el kernel puede ser una adaptación de un núcleo de sistema operativo basado en Android.

Una vez el dispositivo electrónico ha generado el entorno seguro, el sistema operativo cifrado puede estar configurado para almacenar los datos de trabajo del usuario de manera cifrada en el entorno de trabajo cifrado.

El kernel puede disponer de un cortafuegos configurable encargado de permitir las comunicaciones del equipo hardware anfitrión únicamente con servidores predeterminados.

Otro aspecto de Ia presente invención es un sistema de generación de entorno seguro que comprende el dispositivo electrónico de generación de entorno seguro y el equipo hardware anfitrión donde se genera el entorno seguro.

Asimismo, otro aspecto de Ia presente invención es un método de generación de entorno seguro, dicho entorno seguro generado por un dispositivo electrónico sobre un equipo hardware anfitrión con medios de almacenamiento de datos, medios de procesamiento de datos y un firmware. El método comprende:

- detectar el dispositivo electrónico conectado ál equipo hardware anfitrión; - cargar un gestor de carga del dispositivo electrónico en los medios de almacenamiento de datos; '

- obtener el gestor de carga el control del equipo hardware anfitrión;

- cargar, en los medios de almacenamiento de datos, un kernel y un sistema de archivos de arranque incluidos en el dispositivo electrónico;

- pasar el control del equipo hardware anfitrión al kernel;

- inicializar el kernel;

- pasar el control al sistema de archivos de arranque;

- cargar en los medios de almacenamiento de datos un programa PBA incluido en el dispositivo electrónico, estando dicho programa PBA encargado de autenticar al usuario y obtener una clave de cifrado;

- descifrar un sistema operativo cifrado incluido en el dispositivo electrónico;

- pasar el control del equipo hardware anfitrión a dicho sistema operativo cifrado;

- descifrar un entorno de trabajo cifrado;

- cargar en los medios de almacenamiento de datos un entorno de trabajo encriptado que contiene el entorno de trabajo del usuario incluyendo acceso a datos y aplicaciones previamente almacenados en dicho entorno de trabajo encriptado;

- inicializar un gestor de comunicaciones encargado de habilitar los sistemas de comunicaciones predefinidos y que además estén soportados por el equipo hardware anfitrión.

La autenticación del usuario por parte del programa PBA se puede efectuar mediante una cualquiera de las siguientes formas:

- contraseña;

- tarjeta inteligente criptográfica;

- DNI electrónico;

- token criptográfico;

- dispositivo biométrico.

El dispositivo electrónico se conecta al equipo hardware anfitrión por puerto

USB.

El método puede comprender también:

- acceder a una consola de generación instalada en un servidor mediante un navegador web instalado en un ordenador del administrador;

- elegir en dicha consola de generación Ia configuración a instalar en el dispositivo electrónico, dicha configuración definiendo las aplicaciones y políticas de seguridad a incluir en el dispositivo electrónico;

- generar un fichero con Ia configuración elegida;

- descargar desde el ordenador del administrador dicho fichero usando Ia consola de generación;

- grabar dicho fichero en el dispositivo electrónico.

Breve descripción de los dibujos

A continuación se pasa a describir de manera muy breve una serie de dibujos que ayudan a comprender mejor Ia invención y que se relacionan expresamente con una realización de dicha invención que se presenta como un ejemplo no limitativo de ésta. '

La Figura 1 muestra una estructura de bloques de los elementos de Ia invención.

La Figura 2 muestra el esquema general del proceso de arranque en frío con el dispositivo electrónico de Ia invención.

La Figura 3 muestra el proceso de arranque en caliente con el dispositivo electrónico objeto de Ia invención.

En Ia Figura 4 se muestra el proceso de arranque en un dispositivo móvil.

La Figura 5 muestra el procedimiento de generación de los dispositivos electrónicos objetos de Ia invención.

La Figura 6 muestra un proceso de gestión para controlar y administrar los dispositivos electrónicos.

La Figura 7 muestra un escenario de utilización de Ia presente invención, aplicada a Ia conexión remota para usuarios de teletrabajo.

Descripción de una realización preferida de Ia invención

La presente invención proporciona un sistema operativo de seguridad (o proceso de arranque en frío o autoboot), una solución de arranque en caliente (autorun), un proceso de arranque en dispositivo móvil, una consola de generación y una consola de gestión remota.

Sistema operativo de seguridad

Con respecto al sistema operativo de seguridad, Ia presente invención permite el acceso seguro a redes internas, a aplicaciones y a sistemas del cliente, basándose en Ia utilización de un sistema operativo seguro que se arranca desde distintos tipos de dispositivos externos, sin necesidad de utilizar el disco duro del PC sobre el que se ejecuta. La solución está basada en Ia distribución Ubuntu de Linux, Ia cual soporta más del 85% del hardware que ha salido al mercado en los dos últimos años. Sobre esta distribución se han llevado a cabo múltiples modificaciones enfocadas a crear un entorno ultra seguro. Entre las mejoras incluidas sobre Ia distribución destacan:

• Incorporación de Ia tecnología de cifrado físico y cifrado lógico del medio físico que alberga Ia distribución (el CD o DVD, USB Disk, etc.).

• Posibilidad de autenticación previa al arranque (PBA, 'Pre-Boot Authentication'), incluyendo Ia incorporación de distintos sistemas de autenticación robusta, basadas en Ia utilización de tarjetas inteligentes, certificados, DNI electrónico, etc.

• Fortalecimiento del núcleo -o kernel- de Linux contra desbordamientos de buffer, evitando que se puedan explotar posibles vulnerabilidades en cualquier programa.

• Configuración a medida del cortafuegos de Linux -incluido en el propio núcleo del sistema-, para proteger el puesto de trabajo de tráfico de red no autorizado.

• Limitación del ancho de banda consumido por el usuario, para asegurar, como opción disponible en función de las necesidades del usuario.

Partiendo de esta base, denominada LIME Access, se ofrecen soluciones que se pueden adaptar a cada usuario de forma particular, a partir de tres modelos de entorno seguro:

1 Thin Client: El concepto es arrancar un sistema Linux limpio, exclusivamente con el software necesario para Ia conectividad estrictamente necesaria. Asimismo, se recomienda -es una opción- desactivar el soporte para grabadores de CD/DVD, y discos duros y memorias portátiles por USB/Firewire. A modo de ejemplo, parte del software de conectividad que puede incluirse es:

o Cliente de VPN (SSL, IPSEC, PPTP, etc.).

o Navegador (Firefox / Microsoft Internet Explorer).

o Cliente de E-Mail (Thunderbird / Lotus Notes).

o Voz sobre IP, VoIP (Skype, cliente SIP).

o Cliente de Messenger.

o Cliente de Terminal Server / Citrix.

2. Entorno Virtual Seguro: Usando LIME Access como base de arranque y securización de un sistema operativo virtual -que puede ser Windows con los aplicativos necesarios preinstalados- totalmente aislado y securizado -en Ia medida que requiera el usuario. No se incorporará software de conectividad alguna en Ia parte Linux, sino que ésta será el mero soporte y plataforma de seguridad del sistema operativo virtual. El sistema operativo virtual (Windows normalmente) gozará de conectividad con el exterior, pasando siempre por un filtro que limitará a qué IP's/puertos, protocolos se puede conectar.

3. Entorno Virtual Seguro Mixto (Thin Client + Virtual):

a. Parte I: Entorno de conectividad segura: La conectividad con Internet se realiza en exclusiva desde Ia parte Linux del sistema, con los clientes mencionados en el tipo Thin Client.

b. Parte II: Sistema operativo virtual seguro: El sistema operativo virtual

(Windows) estará aislado de Internet, incluso de Ia parte Linux, para evitar fugas de información sensible, excepto en los casos considerados seguro como por ejemplo, permitir al sistema operativo virtual, conectar únicamente con Ia IP del servidor central de Ia oficina, pero no con Internet.

Por tanto, las aplicaciones serán las propias de Linux o las accesibles vía virtualizador sobre sistema operativo seguro. En Ia Figura 1 se muestra una estructura de bloques de los elementos de Ia invención.

El tipo de dispositivo utilizado como soporte físico puede ser, entre otros, CD, pen drive, disco duro USB, pudiéndose almacenar datos cifrados en los dos últimos soportes. En todos los casos: el acceso es seguro a direcciones (puertos) únicas de aplicaciones Web o en modelo cliente/servidor; el arranque del SO en memoria RAM es inviolable por amenazas de red (Internet/externas o internas), virus, gusanos, troyanos, spyware, etc.; Ia solución es 100% segura frente a ataques de phishing o pharming al limitar las direcciones y resolver los nombres de dominio localmente; el acceso es ubicuo desde cualquier PC ó Laptop; no permite acceder al sistema de almacenamiento del puesto de trabajo o portátil; todos los datos almacenados en el medio de soporte físico van cifrados con una autenticación previa al arranque.

El esquema general del proceso de arranque en modo autoboot (arranque en frío) se muestra en Ia Figura 2. El proceso de arranque de arranque en frío es el siguiente:

- Se conecta el ordenador anfitrión 1 , con el dispositivo de almacenamiento externo 6 mediante el sistema de conexión o lectura adecuado. El ordenador anfitrión 1 debe estar apagado en este punto.

- Se pulsa el botón de encendido del ordenador anfitrión 1. - Durante el proceso de inicialización del ordenador anfitrión 1 , el firmware 5 verifica Ia existencia de algún dispositivo de almacenamiento masivo conectado a los puertos USB 2. En el caso mostrado en Ia Figura 2 se encuentra con el dispositivo de almacenamiento externo 6.

- El firmware 5 lee el gestor de carga 7 desde el dispositivo de almacenamiento externo 6 y Io almacena en Ia memoria 3 del ordenador anfitrión 1 , pasando después el control al mismo.

- El gestor de carga 7 carga en memoria el kernel 8 y el sistema de archivos de arranque 9, y pasa el control al kernel 8.

- El kernel 8, después de su inicialización automática, pasa el control al sistema de archivos de arranque 9.

- El sistema de archivos de arranque 9 carga el programa PBA 10 (Pre-Boot Authentication, autenticación anterior al arranque), que se encarga de autenticar al usuario.

- El programa PBA 10 autentica al usuario pidiendo una contraseña.

Opcionalmente puede hacer uso de un lector de tarjetas inteligentes 15 en el que se inserte una smartcard o tarjeta inteligente 16 con certificados electrónicos de usuario, en cuyo caso Io que el programa PBA 10 solicitará al usuario será el PIN de acceso a Ia tarjeta 16. En ambos casos, el programa PBA obtiene una clave de cifrado.

- Con esta clave de cifrado, el sistema de archivos de arranque 9 descifra el sistema operativo encriptado 11 y Ie pasa el control.

- El sistema operativo cifrado 11 carga el entorno de trabajo cifrado 12, que contiene el entorno de trabajo del usuario y sus datos y documentos, e inicializa el gestor de comunicaciones 13.

Solución de arranque en caliente

La presente invención también proporciona una solución de acceso remoto a aplicaciones y sistemas, desarrollado para las especificaciones de cada usuario con arranque sobre el sistema operativo Windows del equipo. Se trata de una solución autocontenida y protegida que sólo necesita lanzarse en un equipo ya arrancado con

Windows.

Dicha solución crea una burbuja de seguridad dentro del equipo donde se ejecutan todos los programas que se lanzan desde ese entorno sin mezclarse con los programas que se lanzan desde el sistema operativo base. Dicha solución esta basada en el mismo sistema operativo protegido que Ia solución de arranque en frío, permitiendo Ia generación personalizada de las aplicaciones y Ia aplicación de políticas de acceso seguro a direcciones (puertos) únicas de aplicaciones Web o en modelo cliente/servidor. Además lleva a cabo un cierre seguro del entorno impidiendo dejar rastros en el equipo de las operaciones realizadas.

El proceso de arranque, cuando Lime Access funciona en arranque en caliente

(autorun), mostrado en Ia Figura 3, es parecido al caso anterior de arranque en frío, aunque se introducen algunas diferencias debido a Ia existencia de un sistema operativo anfitrión 14 (normalmente Windows, aunque también podría ser Linux o Mac

Os X).

- Se conectan el ordenador anfitrión 1 con el dispositivo de almacenamiento externo 6 mediante el sistema de conexión o lectura adecuado. El PC debe estar encendido en este punto, y el sistema operativo anfitrión 14 debe haber arrancado.

- El sistema operativo anfitrión 14 detecta Ia presencia del dispositivo de almacenamiento masivo 6, carga el gestor de carga 7 presente en éste y Io almacena en Ia memoria 3 del ordenador anfitrión 1 , pasando después el control al gestor de carga.

- Opcionalmente, el gestor de carga 7 carga en memoria un anti keylogger 17, marcado en líneas discontinuas, que se encargará de evitar que algún potencial software espía preexistente en el sistema operativo anfitrión 14 pueda capturar las pulsaciones de teclado.

- El gestor de carga 7 carga en memoria el kernel 8 y el sistema de archivos de arranque 9, y pasa el control al kernel 8.

- El kernel 8, después de su inicialización automática, pasa el control al sistema de archivos de arranque 9.

- El sistema de archivos de arranque 9 carga el programa PBA 10, que se encarga de autenticar al usuario.

- El programa PBA 10 autentica al usuario pidiendo una contraseña. Opcionalmente puede hacer uso de un lector de tarjetas inteligentes 15 en el que se inserte una tarjeta inteligente 16 con certificados electrónicos de usuario, en cuyo caso Io el programa PBA 10 solicitará al usuario será el PIN de acceso a Ia tarjeta 16. En ambos casos, el programa PBA obtiene una clave de cifrado.

- Con esta clave de cifrado, el sistema de archivos de arranque 9 descifra el sistema operativo cifrado 11 y Ie pasa el control. - El sistema operativo cifrado 11 carga el entorno de trabajo cifrado 12, que contiene el entorno de trabajo del usuario y sus datos y documentos, e inicializa el gestor de comunicaciones 13. El sistema operativo está cifrado, pero también está cifrado, por separado, el entorno de trabajo, datos y documentos del usuario. Todo el espacio libre del dispositivo está cifrado, de forma que cualquier documento nuevo almacenado en él se almacena cifrado.

Proceso de arranque en dispositivo móvil

En Ia Figura 4 se muestra el proceso de arranque en un dispositivo móvil, por ejemplo un teléfono móvil basado en Android, es muy similar al del arranque en frío:

- Se pulsa el botón de encendido del teléfono móvil basado en Android 6.

- El firmware 5 lee el gestor de carga 7 residente en el propio teléfono móvil 6 y Io almacena en Ia memoria 3, pasando después el control al mismo.

- El gestor de carga 7 carga en memoria el kernel 8 y el sistema de archivos de arranque 9, y pasa el control al kernel 8.

- El kernel 8, después de su inicialización automática, pasa el control al sistema de archivos de arranque 9.

- El sistema de archivos de arranque 9 carga el programa PBA 10, que se ' encarga de autenticar al usuario.

- El programa PBA 10 autentica al usuario pidiendo una contraseña. El resultado es que se obtiene una clave de cifrado.

- Con esta clave de cifrado, el sistema de archivos de arranque 9 descifra el sistema operativo cifrado 11 y Ie pasa el control.

- El sistema operativo cifrado 11 carga el entorno de trabajo cifrado 12, que contiene el entorno de trabajo del usuario y sus datos y documentos, e inicializa el gestor de comunicaciones 13.

Consola de generación

La presente invención también proporciona un sistema que dispone de una consola web de generación y maquetación del sistema LIME Access, permitiendo parametrizar el contenido del mismo así como algunas de sus funcionalidades de seguridad.

La consola de generación permite a los administradores del sistema, de forma sencilla, definir distintos parámetros y características con los que contará el sistema LIME Access a implantar en cada equipo o soporte: • Creación gráfica de Ia pantalla o pantallas de bienvenida al sistema, de forma que se pueda incluir Ia imagen corporativa de cada empresa/usuario.

• Especificación de los dominios y direcciones IP, DNS, URLs a las que se permitirá Ia conexión.

• Limitaciones en Ia navegación.

• Selección de certificados, para el establecimiento de conexiones.

• Selección de los componentes que se van a poder utilizar dentro del entorno seguro generado: navegador, aplicaciones ofimáticas, etc.

• Se especificará el método de autenticación del usuario que va a ser utilizado por el sistema.

• Gestión de claves de cifrado, necesarias para Ia personalización de cada soporte.

• Se seleccionarán las posibilidades de conectividad: Ethernet, WiFi, 3G.

• Selección de Ia máquina virtual a cargar, si fuera necesario.

Igualmente, se podrán configurar otros aspectos como las posibilidades de almacenamiento, los privilegios del usuario, etc.

Ei proceso de generación, mostrado en Ia Figura 5, es el que se realiza para personalizar Ia imagen del software que luego se volcará al dispositivo de almacenamiento masivo. El administrador 51 puede definir toda Ia configuración de ese software, así como las políticas de seguridad.

El proceso es como se describe a continuación:

- El administrador del sistema 51 usa una navegador web 53 instalado en su propio ordenador, el ordenador del administrador 52, para acceder 100 a Ia consola de generación 57, que está instalada en el servidor 56.

- El administrador 51 usa Ia consola de generación 57 para configurar y definir las políticas de seguridad que desee que se instalen en el dispositivo de almacenamiento externo 6.

- La consola de generación 57 pasa 101 esa información al backend de generación 58.

- El backend de generación 58 crea un fichero que contiene el software y configuración elegidos por el administrador 51 , y Io almacena 102 en el disco duro 59 del servidor.

- El administrador 51 se descarga 104 dicho fichero usando Ia consola de generación 57.

- El administrador 51 usa una herramienta de volcado 54 parar grabar 106 dicho fichero en el dispositivo de almacenamiento externo 6. Consola de gestión remota

Para entornos donde se requiere una gestión remota de todos los sistemas LIME Access distribuidos, tanto en dispositivos que se ejecutan desde distintos equipos, como en sistemas residentes en equipos remotos, se proporciona un consola de gestión centralizada donde se definen, aplican y mantienen las políticas de seguridad a aplicar sobre los distintos sistemas, minimizando así las necesidades de mantenimiento y gestión local.

La consola de gestión dispone, entre otras, de las siguientes opciones de configuración remota para sistemas LIME Access:

- Opciones de conectividad: Direcciones IP a las que se permite conectividad

r como 'zona interna' (conexión a servidores internos); direcciones IP a las que se permite conectividad como 'zona externa' (navegación); puertos TCP permitidos en 'zona interna'; puertos TCP permitidos en 'zona externa'; puertos UDP permitidos en 'zona interna'; puertos UDP permitidos en 'zona externa'; lista de hosts accesibles; direcciones IP permitidas para servidores de nombres; permitir o no conexiones 3G.

- Opciones de seguridad: contraseña de arranque del sistema; tamaño mínimo de Ia contraseña de arranque; tamaño máximo de Ia contraseña de arranque; permitir o no almacenamiento externo al soporte donde reside el sistema.

- Ajustes de aplicaciones: URL de Ia página de inicio del navegador 'Firefox'; enlaces para 'Firefox';

- Consultas remotas: lista de aplicaciones.

El proceso de gestión se muestra en Ia Figura 6, comprendiendo los siguientes pasos:

- El administrador 51 accede a Ia consola de gestión 63, que está instalada en el servidor de administración 62.

- En dicha consola, el administrador 51 puede ver y modificar las políticas de seguridad y configuraciones asociadas al dispositivo de almacenamiento externo 6. Las políticas se almacenan en Ia base de datos de políticas 64.

- En cualquier momento, el dispositivo de almacenamiento externo 6 se conecta con el motor de políticas 65, posiblemente a través de Internet 67 y/o un cortafuegos 66. - El dispositivo de almacenamiento externo 6 pasa al motor de políticas 65 su número de serie, con el cual el motor de políticas 65 obtiene Ia política adecuada desde Ia base de datos de políticas 64.

- El motor de políticas devuelve al dispositivo de almacenamiento externo 6 un fichero que contiene todas las políticas aplicables que corresponden al dispositivo 6.

- El dispositivo de almacenamiento externo 6 se aplica a sí mismo dichas políticas y configuraciones.

Escenarios

Los escenarios de utilización que se pretenden securizar y dotar de un mayor control son los siguientes:

• Escenario 1 : Accesos remotos, por parte de usuarios internos de Ia empresa. Este es el caso de usuarios que realizan actividades de teletrabajo, agentes comerciales que pueden requerir conectarse a Ia red interna desde diversas ubicaciones, altos cargos que trabajan indistintamente conectados a Ia red interna o desde accesos remotos, etc.

• Escenario 2: Accesos, por parte de empresas o usuarios, para realizar operaciones seguras a través de Internet (transacciones electrónicas con Ia . Administración Pública -como el voto electrónico-, transacciones con los bancos, etc.).

En estos casos es necesario dotar al usuario de un entorno de trabajo igual al que tendría si se encontrara trabajando en un equipo de Ia red interna, con los mecanismos de seguridad y control adecuados. Escenario 1 : Acceso remoto para usuarios internos o teletrabajo

Los usuarios que requieren conectarse de forma remota (por ejemplo, por teletrabajo) deberán poder trabajar como si se encontrarán en un equipo de Ia red interna.

Para ello, se plantean las alternativas mostradas en Ia Figura 7:

0 • Utilizar un ordenador anfitrión 1 cualquiera (proporcionado por Ia empresa, particular del usuario o de terceros) junto con un dispositivo externo 6 (pen-drive o disco USB)

^• que incluya el LIME Access objeto de Ia invención. Desde el dispositivo externo se ^v arrancará el entorno virtual seguro (sistema operativo securizado) sin necesidad de acceder al disco duro del equipo, utilizando únicamente su capacidad de proceso y5 de memoria. • Utilizar una entorno virtual seguro donde se proporciona directamente el equipo de trabajo, ordenador anfitrión 1, y se carga el entorno virtual seguro (LIME Access) desde una tarjeta SD, sin necesidad de utilizar cualquier otro equipo.

En ambos casos Ia autenticación de usuario se podrá realizar directamente contra los servidores corporativos o en local, pudiendo utilizarse distintos mecanismos de control de acceso (usuario/contraseña, token con certificado, etc.).

Una vez arrancado el sistema el usuario podrá iniciar una máquina virtual de Windows que Ie permitirá trabajar directamente con las herramientas que normalmente utiliza.

La conexión con Ia red interna 75 de Ia empresa para conectarse con los servidores corporativos 76 se realizará mediante túneles IPSec o VPNs (en función de los requisitos del cliente). El sistema deberá incluir los clientes de conexión necesarios y todos los elementos necesarios para poder trabajar de forma normal a través de Ia red interna.

En el caso de no disponer de conexión el usuario podrá trabajar, gracias a Ia capacidad del sistema de almacenamiento local.

Escenario 2: Transacciones electrónicas

Empresas o usuarios externos que deben realizar ciertos trámites electrónicos (con Ia administración, bancos, etc.). Para que esta conexión se realice de forma segura se distribuye entre estas empresas o usuarios un dispositivo de almacenamiento externo 6, preferiblemente en formato CD o pendrive, que realiza todos los procesos necesarios de forma segura. Habrá una autenticación específica para cada usuario, si fuera necesario.

El dispositivo de almacenamiento externo 6 incluye un navegador que permite al usuario conectarse, a través de Internet, para realizar los trámites, pero que no Ie permitirá Ia navegación fuera de unas direcciones determinadas. Existe una limitación de IPs, puertos, direcciones, etc. a los que se podrá conectar, y el método de conexión a utilizar: por ejemplo, mediante VPN. El sistema sólo permite que el usuario haga las acciones necesarias para realizar el trámite electrónico (e.g., de e-banking).