viernes, 5 de julio de 2013

La "terracita" de la ciberseguridad

Terrace"¡Camarero, por favor!, ¡camarero!". Es posible que ésas sean las palabras más pronunciadas en todas las terrazas de la mitad del planeta en el que ahora es verano. El clima invita a salir a la calle y pedir una cervecita bien fría, un granizado de limón, una Coca Cola…

Pero en la terracita más oscura de lo profundo de la red, lo que piden los clientes son ataques DDoS, envíos de spam, robo de datos personales, etc. El “cibercrimen-as-a-service” es una realidad que crece y se industrializa cada día más, según un informe de la compañía de seguridad +McAfee.

Como consecuencia, también se incrementa considerablemente el número de compañías, de servicios y de inversiones en ciberseguridad. En el vídeo de hoy, el experto inversionista israelí, Yoav Tzruya, explica por qué es un buen momento para invertir en este tipo de empresas y tecnología.



Pero si eres el encargado de la seguridad de una compañía, lo que necesitas saber es en qué soluciones y servicios debes invertir para tener bajo control los retos a los que te enfrentas. Según Leonel Navarro, responsable de Aseguramiento de Calidad y Validación de Softek, estos desafíos son principalmente los propios de la nube, el BYOD (Trae Tu Propio Dispositivo) y la analítica de datos.

Por lo tanto, ¿qué debes pedir del singular menú que te ofrece la terraza de la ciberseguridad? Según la country manager de Stonesoft, María Campos, es muy conveniente definir controles de seguridad medibles, junto a una monitorización automatizada y el reporting de incidentes.

Y es que Internet es una terraza llena de carteristas y rateros. Caer en la trampa de un ataque de phishing es como dejar tu cartera sobre la mesa mientras te giras para llamar al camarero. Uno de cada cinco ataques de phishing están dirigidos directamente a bancos y entidades financieras, de acuerdo con un estudio de la empresa de seguridad +Kaspersky Lab.

En un intento de que los europeos podamos disfrutar de las bondades de la terracita internauta con más tranquilidad, la Unión Europea planea endurecer las penas de cárcel para los delitos cibernéticos. De este modo, por ejemplo, los culpables de poner en marcha una bonet o de piratear ordenadores domésticos tendrán que enfrentarse a penas de prisión de al menos 3 años.

jueves, 4 de julio de 2013

Nunca, nunca, nunca te rindas

Give Up"Nunca, nunca, nunca te rindas" (ex primer ministro británico, Winston Churchill). Los seres humanos tenemos una capacidad impresionante para enfrentarnos a las adversidades por muy severas que éstas sean.

Si eres el responsable de una compañía que ha sufrido un ciberataque, no permitas que te invada el desánimo y busca la manera de arreglar las cosas. Necesitarás valor y decisión para enfrentarte a los gastos de medio millón de euros que, de media, van asociados a estos asaltos en las grandes compañías. Incluso, aunque se trate de una pyme y el desembolso medio sea una cifra mucho más pequeña (38.000 euros), según la Encuesta Global sobre seguridad TI corporativa – 2013 de B2B Internacional y +Kaspersky Lab.

En caso de que tu empresa esté localizada en México, cada día que pasa es más probable que tengas que enfrentarte a una de estas situaciones, según el Informe de Amenazas 2013 de la compañía de seguridad +WebsenseMéxico es el primer país en número de amenazas del centro y sur del continente americano y el noveno a nivel mundial. Sus 42 millones de internautas, la falta de regulación sobre seguridad, la baja preparación de los usuarios, el incremento de dispositivos móviles y la cercanía a EEUU, lo convierten en un objetivo muy jugoso.

Si se experimenta un ataque informático no hay que tirar la toalla, pero como dice el refrán, "más vale prevenir que curar". Una de las amenazas más importante para las organizaciones son los ataques de denegación de servicio (DDoS). Existen en el mercado diferentes soluciones de seguridad para este tipo de ofensivas. En el vídeo de hoy, se muestra la simulación de dos ataques DDoS: uno a una empresa protegida y otro a una empresa que no lo está.



No obstante, a veces el riesgo de seguridad lo sufres en tus propias carnes como ciudadano. Compartir sin darte cuenta una imagen escaneada de tu DNI en una red P2P es un error que puede convertir tu vida en un infierno. Con tus datos, los criminales pueden suplantar tu identidad y poner todo tipo de facturas y deudas a tu nombre. La historia de una chica llamada Sandra que relatan en Cuatro es así. Pero ella no se da por vencida, no está dispuesta a renunciar a su identidad.

Tal vez pienses que tú no cometerías una torpeza como la de Sandra. Sin embargo, es posible que hagas check-in regularmente para compartir con tus amigos a dónde vas, qué haces o qué te acabas de comprar. De este modo, no te robarán la identidad, pero es posible que los cibercriminales más atentos te desvalijen la casa mientras cuentas que estás disfrutando de una piña colada en una playa de la Riviera Maya. Por ello, +Kaspersky Lab pide mucha precaución a los usuarios a la hora de publicar su ubicación.

Así que no debemos confiarnos nunca. Aunque tomes ciertas medidas de seguridad, no siempre son infalibles. Por ejemplo, tienes una solución de seguridad instalada en tu empresa y resulta que tiene vulnerabilidades que podrían acarrear inyecciones SQL, ataques XSS, y la revelación de información sensible. Eso ha ocurrido con el Symantec Security Information Manager según reconoce la propia+Symantec. Quedarían corregidas con la versión 4.8.1.

miércoles, 3 de julio de 2013

Errores que se pueden pagar MUY caros

Decía el escritor irlandés Oscar Wilde que "la experiencia es el nombre que damos a todos nuestros errores". En el mundo de la seguridad online, las equivocaciones son una constante. De ellas se aprovechan los cibercriminales para explotar brechas de seguridad o descuidos humanos. Y cuando estos últimos también cometen fallos, son las fuerzas de seguridad se encargan de pillarles.

No sabemos cuál ha sido el error que ha permitido que un sitio web de la compañía de videojuegos Ubisoft sea hackeadao. La consecuencia es que se han visto expuestas las contraseñas de sus usuarios, así que recomiendan que sean cambiadas cuanto antes. Afortunadamente en la base de datos afectada no se almacenaban detalles bancarios de ningún tipo. Esperamos que aprendan de la experiencia para que no vuelva a suceder.

Los propietarios de un dispositivo Android deberían tener cuidado para no cometer el descuido de ser infectados por el troyano USB Cleaver. Al parecer, al conectarlo a un ordenador con Windows, un hacker podría robar información como contraseñas de diferentes navegadores, así como de WiFi y datos de red.

Un pequeño desacierto en el ámbito de la seguridad informática puede tener graves consecuencias para una organización. Se podría traducir en una filtración de datos que conllevase daños de carácter financiero, daños en su reputación y/o pérdida de la competitividad. Por otro lado, un ataque de denegación de servicio podría llegar a paralizar toda la actividad de la compañía.

La experiencia nos muestra que uno de los mejores métodos para evitar un pérdida de datos confidenciales es el cifrado de dicha información. Por ello, la Fiscal General de California ha propuesto que se promulgue una ley para garantizar que las compañías que operan en ese estado norteamericano cifren la información personal de sus clientes. Se estima que en 2012 se pusieron en riesgo los detalles de casi millón y medio de californianos.

En ocasiones, hay equivocaciones que te podrían llevar a sentar tus posaderas entre barrotesAndrew Auernheimer sabe lo que es eso. Su error fue crear una herramienta automatizada para extraer los nombres y correos electrónicos de 114.000 propietarios de iPad 3G de los servidores de la compañía de telecomunicaciones AT&T y permitir su publicación en la web Gawker. Ahora le espera una sentencia de 41 meses de cárcel para aprender la lección.

A veces, es conveniente cometer errores intencionadamente para ser capaz de encontrar la manera de corregirlos. Por este motivo, se están utilizando Honeypots como cebo para rastrear ataques a sistemas de infraestructuras críticas. De esta forma, se puede analizar el comportamiento y las técnicas de los hackers.

martes, 2 de julio de 2013

Viaje al mundo de las amenazas en 80 días

"Todo lo que una persona puede imaginar, otros pueden hacerlo realidad". Así lo escribió Julio Verne en su novela "La vuelta al mundo en ochenta días". Una aventura que lleva a Phileas Fogg a recorrer nuestro planeta en tren, barco o elefante para cumplir con una apuesta. Hoy en día, las ciberamenazas se expanden prácticamente al instante por todo el mundo y sus intenciones no son tan nobles como las del bueno de Phileas.

Según la compañía de software de seguridad +ESETel malware más propagado en junio no viaja ni en tren ni en barco, ni siquiera a través de Internet sino que se infecta desde medios removibles. Se trata del gusano Win32/Bundpil. En el ranking de ESET, además, explican las características de sus otros nueve compañeros de viaje.

Otros peligros que proliferan a nivel global son los relacionados con la virtualización y la nube. De acuerdo al Informe Anual de Seguridad de Cisco 2013, estos riesgos tienen que ver con la violación del software que crea y ejecuta las máquinas virtuales, con el abaratamiento y sencillez de la infraestructura para realizar actividades criminales, y con la dificultad de las empresas de aplicar enfoques tradicionales de seguridad.

De hecho, la propia Cisco ha lanzado parches para cubrir vulnerabilidades en varias de sus soluciones de seguridad (Cisco Content Security Management Appliance, Cisco Email Security Appliance, Cisco Web Security Appliance) de forma que se evite que aventureros indeseables decidan tomar ese rumbo en su travesía.

Hay viajeros a los que no les gusta desplazarse solos. Es el caso de dos programas maliciosos llamados Vobfus y Beebone sobre los que #Microsoft ha elevado la voz de alerta ya que muchos antivirus son incapaces de eliminarlos. Cada programa va descargando alternativamente variaciones de código del otro de manera que juntos puedan evadir el software de seguridad.

Al parecer, el Reino Unido es el destino mensual de al menos 70 expediciones de sofisticados ataques de espionaje. Como afirman el MI5 y la Central de Comunicaciones del Gobierno (GCHQ), su objetivo no son sólo secretos militares o gubernamentales, sino principalmente el robo de propiedad intelectual para el beneficio de naciones extranjeras.

Actualmente se pueden frustrar los planes de "los malos" sin desplazarse de la silla. Tan sólo con el ordenador. ¿Pero te imaginas que te pudieras desplazar a los lugares donde los cibercriminales programan un malware letal volando como Superman o destruir virus informáticos simplemente con una mirada? En el vídeo de hoy, profesionales del sector de la seguridad nos cuentan qué superpoderes les gustaría poseer.

lunes, 1 de julio de 2013

Cóctel de ciberamenazas

"Cóctel: bebida compuesta de una mezcla de licores a la que se añaden por lo común otros ingredientes" (Real Academia Española). Mojito, Sex on the Beach, Caipiriña, Long Island Iced Tea, Margarita, Manhattan… son nombres de cócteles, pero bien podría tratarse de un listado de virus informáticos que homenajeasen al mundo de estos generalmente exóticos brebajes. En Internet hay amenazas de todos los colores, sabores, con o sin hielo, vírgenes o con alcohol, con una rajita de limón o una guinda.

CóctelNuestro primer cóctel de hoy tiene una dosis de un informe del ICS-CERT del Departamento de Seguridad Nacional de EE UU, dos dosis de estaciones de compresión de gas víctimas de varios ciberataques en febrero y dos dosis y media de asaltos de fuerza bruta para acceder a la red de control de proceso de dichas estaciones.

Si el cóctel anterior es demasiado fuerte para ti, tenemos más. Pongamos una dosis de aviso de la compañía de seguridad McAfee; dos dosis de un ejecutable llamado emiratesstatement.exe y camuflado en un inofensivo PDF; y un toque deinfecciones de malware en los Emiratos Árabes Unidos, Omar y Baréin dirigidas a instituciones gubernamentales, compañías de telecomunicaciones, sistemas CRM internos…

Para terminar con nuestra lista de cócteles de hoy, os ofrecemos uno más al que hay que poner tres dosis de Ruby; una dosis y media de actualización; y dos dosis de solución de vulnerabilidades que permitían realizar ataques Man-In-The-Middle o denegaciones de servicio.

Como en otros sectores, te puedes encontrar cocteleros con una extensa formación y otros que hacen gala de una gran profesionalidad simplemente contando con su experiencia sin ningún título a sus espaldas. ¿Es necesario un título para trabajar combatiendo los cócteles molotov informáticos que atacan a usuarios, compañías y gobiernos a lo largo y ancho del planeta? Lorenzo Martínez nos plantea este interesante debate en Security by Default.

Con título o sin él, estos maestros cocteleros de la seguridad informática se preguntan si los estados (más concretamente Estados Unidos) están preparados para hacer frente a un ciberataque masivo a sus sistemas críticos. En CSO recogen una variada muestra de opiniones al respecto.

En este sentido, las Fuerzas Armadas de Singapur han organizado un Centro de Operaciones de Ciberdefensa en el que reúnen a muchos de estos profesionales acostumbrados a mezclar todo tipo de ingredientes para preparar sus redes militares de cara a posibles ciberataques.

Curso CIGTR - I4S 2012, en vídeos

En el canal de Youtube del CIGTR podéis acceder a todos los vídeos del curso Innovation 4 Security del año 2012. Para acceder a dicho canal debéis hacer clic aquí.