miércoles, 24 de septiembre de 2014

El tamaño en ciberseguridad SÍ importa

”Me ha sorprendido observar que no hay cambios significativos de mejoría”. Marc Rogers, analista principal de seguridad de la firma Lookout, respondía así a la entrevista que Information Security Media Group le hacía después de desvelar el nuevo éxito de la compañía.


Lo comentábamos en el día de ayer: Los sistemas biométricos presentan problemas de seguridad complejos de solucionar. El mayor, la posibilidad de que un atacante pueda hacerse con el patrón de desbloqueo e imprimir un objeto con él para desbloquear cualquier dispositivo. Ocurrió en su momento con la huella dactilar del iPhone 5S, y ha ocurrido nuevamente con el TouchID del iPhone 6. Lo peor, que con el cambio de versión, lo que antes era un sistema de protección para desbloquear el dispositivo, ahora además permite realizar compras con Apple Pay y acceder a la información de Health.

Peligros que afectan a un porcentaje significativo de la sociedad, como es el caso de los usuarios de la web oficial de JQuery, una de las tecnologías presentes en el 30% de las páginas web actuales. El 18 de Septiembre, la web fue víctima de un malware cuyo objetivo es recopilar información del usuario, y que podría haber infectado a cualquiera que la haya visitado, aprovechándose de varias vulnerabilidades de IE, Adobe Flash y Silverlight. Y hablamos de una tecnología que la mayoría de administradores web utilizan, por lo que el ataque podría llegar a afectar indirectamente a muchas otras páginas, e incluso a instituciones y compañías de gran renombre.

Robo de datos y técnicas de infección que pueden ser utilizadas para diferentes objetivos. La explotación de una vulnerabilidad en el navegador por defecto de Android en todos los dispositivos con versiones inferiores a la 4.4 permite a cualquier atacante, de una manera sencilla, hacerse con el control de varios elementos críticos del mismo, pudiendo incluso instalar una suite de herramientas para la gestión de botnets JavaScript. Y eso únicamente cambiando un byte a nulo en una llamada a alguno de los numerosos scripts de cualquier web corrompida.

Campañas como la vivida en la web de JQuery, o como el potencial de infección de una vulnerabilidad en un navegador por defecto de un dispositivo con un 75% de cuota de mercado, sacan a relucir el riesgo que entraña para una empresa la fuga de información. Desde Net-Security, responden con una lista de consejos para minimizar el peligro del uso indebido por parte de trabajadores (o de víctimas infectadas por algún tipo de malware) de información privilegiada.


Aunque hay veces que el enemigo no tiene como objetivo recopilar datos, sino denegar nuestros servicios. BlackEnergy, uno de los troyanos DDoS más conocidos en el mundo del cibercrimen, vuelve a las andadas, esta vez atacando infraestructuras de gobierno y compañías privadas de Polonia, Ucrania y Béligica. El Parlamento Europeo y la Comisión Europea son dianas claras para los investigadores de ESET y F-Secure encargados del caso. Llega como muchos otros, mediante campañas hipersegmentadas de phishing, e infectan a la víctima para sustraer credenciales en terminales que pertenezcan a la red del sistema a comprometer. Una vez dentro, siembran el caos.

Y terminamos con una reflexión, esta vez iniciada por Ramón Pinuaga de Aeropago21. En ciberguerra, ¿el tamaño importa? Para este consultor, la respuesta es un rotundo sí, aunque no hay que fijarse en el tamaño de la organización, sino en el de su potencial digital. De ahí que a veces veamos cómo supuestos grupos con pocos recursos son capaces de someter a Goliats internacionales, que quizás hayan dejado la seguridad aparcada en su estrategia empresarial.

Tanto si estamos en uno de los lados (los usuarios) como en el otro (las empresas), conocer la actualidad del sector nos permite reducir el riesgo a que seamos noticia uno de estos días. Por ello, agradecemos de antemano el apoyo social que día tras día estáis demostrando a este medio. Muchas gracias, y a seguir informados.

0 comentarios:

Publicar un comentario