viernes, 31 de marzo de 2017

El teléfono escacharrado

Lo mejor de la semana en Ciberseguridad

Uno de los juegos estrella cuando éramos pequeños era el teléfono escacharrado o el teléfono artesano, hecho con un par de envases de yogur y un hilo. La mecánica de cada uno de ellos, recordamos, era hacer llegar un mensaje de una persona a otra y, en los dos casos, lo que llegaba era un balbuceo del contenido original. Como era de esperar, la seguridad de los dos métodos no era muy alta (tampoco era lo que se buscaba) y es en esto en lo que han centrado sus esfuerzos las empresas en los últimos años: en buscar una comunicación segura, de un "yogur" a otro.



Telegram, siguiendo los pasos de su alter ego, ha añadido la posibilidad de realizar llamadas. Ésta no es algo nuevo en este tipo de aplicaciones, pero la novedad que aporta es la encriptación de las llamadas "end to end", al igual que en los mensajes de texto. Y la cosa no queda ahí, se podrá seleccionar quién quieres permitir que te llame y la calidad de las llamadas (podrás decidir entre una mayor calidad de llamada o utilizar menos datos). Por el momento sólo estará disponible en Europa occidental, para dispositivos iOS y Android.


miércoles, 29 de marzo de 2017

Los riesgos más peligrosos están donde no creías

El estudio de la semana

Como se suele decir no es 'oro todo lo que reluce' o que se lo digan a los troyanos cuando vieron entrar ese imponente caballo ,que supuestamente era regalo de los griegos, que resultó ser el fin de la ciudad y la destrucción de la mayoría de sus ciudadanos. Un caballo de madera, algo que parecía inofensivo, se convirtió en una de las más poderosas herramientas de guerra. Si lo trasladamos al mundo de la ciberseguridad, no todos los peligros están detrás de los grupos internacionales de ciberdelincuentes o de las grandes campañas de phishing contra importantes empresas. Puedes ser infectado por muchas otras vías y con medios mucho más caseros o simples de lo que creías. 


Carbon black, ha mostrado los resultados de su último informe de investigación, Beyond the Hype, que cuenta con la opinión de 400 investigadores de ciberseguridad. Se ha centrado en destacar el riesgo que suponen los ataques que no provienen de los malware, que según los resultados representan un riesgo mayor para las organizaciones a pesar de lo que se podría pensar en un primer momento. Un 93% de los encuestados está de acuerdo con esta declaración y casi dos tercios (64%) de ellos declararon que habían observado un aumento de estos ataques sin malware desde principios de 2016. 


lunes, 27 de marzo de 2017

Los ciberataques contra hospitales no son sólo cosas del pasado

Hoy, hace un año...

Los avances tecnológicos afectan a todas las facetas de nuestra vida pero sin duda uno de los campos más importantes es el de la medicina. La aparición de nuevas técnicas y utensilios quirúrgicos están haciendo posible la investigación y la evolución de las técnicas médicas, lo que supone salvar la vida de muchas personas de todo el mundo o al menos alargar esas vidas por más años. El único problema es que los responsables de los hospitales, en ocasiones, dejan de lado cuestiones como la ciberseguridad, que puede llegar a tener más importancia de la que ellos pueden imaginar.


La inseguridad informática en los centros médicos fue y es un tema cada vez más serio y que pide revisión urgente. Fue hace un año cuando se produjo una oleada de ataques ransomware dirigidos contra diversos hospitales de Estados Unidos. Los afectados fueron el hospital Metodista de Kentucky y el Centro Médico del Valle Chino de California entre otros. En el hospital metodista tuvieron que declarar emergencia interna mientras los técnicos intentaban restaurar el acceso a archivos cifrados y correo electrónicos. El ransomware era Locky, uno de los más nuevos por entonces, que se extendió por toda la red interna e infectó múltiples sistemas. Los ciberdelincuentes exigieron un rescate de 1600€ para desbloquear los archivos cifrados pero a día de hoy aún no quedó claro si el hospital finalmente lo pagó.


viernes, 24 de marzo de 2017

Asegurando nuestra privacidad

Lo mejor de la semana en Ciberseguridad

Parece cada vez más difícil mantener nuestra privacidad y evitar las 'miradas' cotillas de la gente. Miradas que en el siglo XIX se traducen en un 'me gusta' en una red social o que te encuentres a una persona a la que no habías visto durante años y que sepa todo el recorrido de tu vida. Muchas personas eligen estar expuestas pero otras deciden no subir a las redes ningún contenido de su vida privada y creen que así su privacidad está salvaguardada. Lo que no siempre tenemos en cuenta es que nuestros ordenadores o móviles pueden ser hackeados, y que todo ese contenido que hemos mantenido guardado con tanto esmero puede ver la luz de un momento a otro.


Sobre privacidad, o más bien la falta de ella, ha hablado de nuevo Wikileaks. En su último soplo sobre la campaña de ciberespioje de la CIA ha declarado que iPhones y Mac habrían sido espiados desde hace varios años. Wikileaks ya adelantó que no había contado todo y así ha sido. En el caso de los iPhones, habrían sido infectados desde un año después de su lanzamiento en 2007, lo que supone que la CIA habría introducido malware directamente en la cadena de producción de los terminales. Puede que el tuyo sea uno de los elegidos, aunque no quiere decir que te hayan espiado... ¿o si? 


miércoles, 22 de marzo de 2017

Ciberseguridad en vida privada y laboral

El estudio de la semana

El uso de las aplicaciones móviles se está ampliando a todas las facetas de nuestra vida, ya que las utilizamos para buscar la dirección de un restaurante, para comunicarnos con nuestros amigos o para comprar cualquier cosa. También las empresas hacen uso de Apps para facilitar a los trabajadores su día a día con las facturas y esto ha derivado en la utilización de los móviles personales para uso tanto personal como profesional, lo que puede llevar aparejado graves riesgos de seguridad para las empresas.


Un nuevo estudio realizado por F5 Networks sobre el comportamientos de los consumidores respecto a las aplicaciones móviles, ha revelado que más de un cuarto de los británicos (26%) no comprueban las medidas de seguridad de las aplicaciones antes de descargarlas. 
El estudio fue realizado a 2.000 usuarios y reveló que, independientemente de los crecientes temores sobre la actividad cibercriminal, las personas siguen descuidando las medidas de seguridad online. Sólo uno de cada cinco  encuestados (21%) comprueba las medidas de seguridad de cada nueva aplicación que descargan, mientras que el tipo de aplicación afectó si el usuario decidía o no que valía la pena comprobarlo.


martes, 21 de marzo de 2017

Los "idus de Marzo"

Hoy, hace un año...

Ciertos momentos clave del calendario tenían nombre propio en el pasado. Entre ellos destaca el conocido como "idus de marzo" que designaba el día 15 del mes dedicado al dios de la guerra Marte, o lo que es lo mismo, el 15 de marzo para los mortales.

Estos días eran jornadas de buenas noticias, sin embargo, los caprichos de la historia hicieron que uno de estos días el propio Julio César fuera asesinado, lo que hizo que esta fecha cambiara las tornas y pasaron a tener connotaciones negativas. Incluso Shakespeare hizo famosa la frase "¡Cuídate de los idus de marzo!".



Como cada semana, nos embarcarnos en nuestra cápsula del tiempo y retrocedemos un año, para tomar perspectiva y ver cómo hemos evolucionado en el sector de la ciberseguridad. Porque evolucionar está claro que evolucionamos, pero a veces da la impresión de que repetimos errores. Por ejemplo, hoy, hace un año, se hablaba de seguridad en telefonía móvil. Google había publicado a toda prisa un parche para una vulnerabilidad que afectaba a 275 millones de teléfonos Android, concretamente de la versión 2.2 a las 4.0, 5.0 y 5.1. 

Aunque la vulnerabilidad era nueva, estaba localizada en la misma librería que atacaba "Stagefright" y que, no se sabía por qué razón, Google no acabó de segurizarlo del todo. Tocaba, pues, instalar parches. Parches que, eso sí, no siempre llegan a todos los dispositivos Android, o no llegan a tiempo. Es esa sutil pero fundamental diferencia enter contar con un Nexus (o un Pixel), o contar con cualquier otro androide en manos de otro fabricante... por no hablar de los retrasos de las operadoras.


viernes, 17 de marzo de 2017

Los 'Millenials' y las RR.SS

Lo mejor de la semana en Ciberseguridad

La generación nacida después de 1980, llamada Millenials, constituye una tercera parte del total de la población mundial, lo que significa también un tercio de la fuerza de trabajo del mundo. Es una generación que utiliza las redes sociales a cada momento y toda su vida está, prácticamente, online. La naturalidad con la que se mueven en internet hace que pierdan el miedo a los ataques cibernéticos y no pongan todos los medios posibles a su alcance para protegerse. Esto puede afectar a las empresas en las que trabajan, ya que muchos de ellos hacen uso de sus redes sociales e email personal en su lugar de trabajo y pueden llegar a infectar sus equipos de trabajo. 


Muchos de estos 'Millenials' podrían perder el control de sus cuentas de Twitter, como le pasó el jueves al Parlamento Europeo, Unicef USA o BBC Norteamérica. Las cuentas de Twitter de estas organizaciones internacionales fueron atacadas por lo que parecía un ciberataque a gran escala. Muchos de los mensajes hackeados estaban en turco y mostraban una esvástica y los hashtags #Nazialmanya y #Nazihollanda. Este ataque puede relacionarse con el conflicto diplomático entre Turquía, Alemania y los Países Bajos, después de que funcionarios holandeses y alemanes prohibieran a los ministros turcos hacer campaña en partes de sus países. Por suerte el problema fue solucionado en tan solo unas horas.


miércoles, 15 de marzo de 2017

La formación continua beneficiosa para todos

El estudio de la semana

La formación continua es una necesidad en la mayoría de las profesiones si no quieres quedarte atrás y que las nuevas generaciones de profesionales te pisen los talones. Los masters y postgrados existentes en el mercado tienen en cuenta este hecho y se han ido adaptando a las necesidades de los trabajadores en activo. El caso de la ciberseguridad es especial, ya que es un ámbito que evoluciona rápidamente, las necesidades crecen muy rápido y los profesionales de la materia son muy escasos. Es por ello que las empresas se están poniendo las pilas y están empezando a invertir en la formación de sus trabajadores, para beneficio de todos.


El nuevo informe de Pearson Vue da nuevos datos a esta nueva realidad y destaca que las empresas están invirtiendo más activamente en formación de seguridad cibernética que en años anteriores. De los 6.605 profesionales de IT encuestados, hubo un aumento del 48% en los que reciben formación en seguridad en su lugar de trabajo y un 60% más realizó exámenes de seguridad. Además las empresas saben que ese reciclaje de conocimiento es algo que redunda en ellas, por ello un 53% de los encuestados recibió la formación financiada por su empresa frente al 26% que admitió haber corrido ellos con los gastos de su formación complementaria.


lunes, 13 de marzo de 2017

Un pequeño detalle lo puede cambiar todo

Hoy, hace un año...

"Email enviado desde un dispositivo móvil, disculpe la brevedad y las posibles erratas" Este breve texto acompaña a la mayoría de correos corporativos que se envían desde dispositivos móviles, y es que las prisas a veces nos juegan malas pasadas. Y no solo las prisas, ¡que levante mano quien no haya enviado un email completamente inconexo gracias a nuestro amigo el autocorrector! Un pequeño detalle puede cambiarlo todo y por eso tenemos que estar atentos a cada error que podamos cometer y más cuando tiene que ver con seguridad. Hacer click y abrir un documento de un email infectado o tener la actualización automática de tus aplicaciones de móvil podría causarnos algún quebradero de cerveza cabeza.


Eso de estar pendientes del detalle parece que no lo siguieron al pie de la letra los protagonistas de esta noticia. Fue el año pasado cuando el Banco Central de Bangladesh sufrió un robo de 100 millones de dólares. Los ladrones podrían haber robado mucho más, en concreto mil millones de dólares, pero cometieron un error al teclear las órdenes de la última transferencia: escribieron "fandation" en vez de "foundation". Esto alertó al banco, que detuvo la transacción y pudo recuperar parte del dinero, todo gracias a que estos ciberdelincuentes no se fijaron mucho en el detalle.


viernes, 10 de marzo de 2017

El objetivo de todas las cámaras

Lo mejor de la semana en Ciberseguridad

Gracias a todos los avances tecnológicos con los que contamos en la actualidad se pueden llegar a hacer cosas impensables hace unos años. La innovación tecnológica sanitaria, por ejemplo, ya permite la realización de una operación a distancia, y el estar lejos de casa se hace más llevadero con todas las posibilidades de comunicación que tenemos disponibles. Pero ya se sabe que todo tiene un ying y un yang y estos avances pueden conllevar grandes peligros de seguridad tanto cibernética como de privacidad.



Para intentar salvaguardar la privacidad y seguridad de nuestros mensajes la Casa Blanca, entre otros, empezó a utilizar la versión 'segura de Whatsapp'. Se trata de una App llamada Confide que cifra los mensajes y nunca muestra más de 4 o 5 líneas de texto a la vez, lo que dificulta las capturas de pantalla y que los mirones se entrometan en nuestra vida privada. Pero no es oro todo lo que reluce y, lo que parecía la solución para que nadie cotillee tus mensajes, también tiene "algunos fallitos". Los encargados de propagarlos al mundo entero han sido los chicos de Quarkslab de IOActive, que en su último informe han expuesto que la implementación del cifrado podría posibilitar la suplantación de identidad o la alteración del contenido de los mensajes o archivos. ¿Es la comunicación segura el santo grial de nuestra época? Parece que sí, y que queda un largo recorrido por delante para dar con ella.


miércoles, 8 de marzo de 2017

La culpa siempre es de la competencia

El estudio de la semana

Cuando alguien tiene una idea de negocio en la cabeza suele buscar apoyo en alguna aceleradora o programa de emprendimiento que le ayude a poner su proyecto en marcha. Una de las primeras preguntas que te suelen hacer es: "¿Quién es tu competencia?" Más de uno responde con orgullo que no tiene competidor y que ahí reside el éxito asegurado de su idea. Craso error. La existencia de competencia es sinónimo de que hay un mercado interesado en lo que vendes, pero llegar a él no siempre es un camino de rosas, sino más bien una carrera de obstáculos en la que a veces tienes que esquivar los ataques, literales, de la competencia.



Sobre estos ataques de la competencia habla la última investigación realizada por Kaspersky Lab y B2B International.  Muchos de los negocios que han sido víctimas de ataques DDoS sospechan que dichos ataques vienen, directamente, desde su competencia. En concreto, casi tres de cada cinco de las víctimas comparten esta teoría conspirativa, por delante de los ciberdelincuentes, que eran sospechosos por el 38% de las víctimas. Pero no todo es echar balones fuera de casa, el dato que más debería preocupar es que el 21% de las empresas sospecha que los ataques vienen de trabajadores descontentos o ex miembros del personal.


lunes, 6 de marzo de 2017

Los gobiernos se ponen al día en ciberseguridad

Hoy, hace un año...

Los gobiernos de la mayoría de países de todo el mundo se preocupan cada vez más por la seguridad cibernética. Algunos incluso crean órganos específicos para mejorar en esta causa, y esto a su vez repercute en las empresas en el sentido de estar menos 'solas ante el peligro'. Los ataques casi diarios a los ministerios de Defensa de países como Singapur hacen que la existencia de una institución específica sea una prioridad para la seguridad de los datos del Estado y, en muchos casos, de los ciudadanos de a pie.



Como cada lunes, hoy echamos la vista atrás y analizamos la realidad de hace un año, cuando conocíamos un ransomware parlanchín. Trend Micro avisó de la existencia de un ransomware, llamado CERBER, cuya "gracia" es que "hablaba" a sus víctimas mediante un archivo de audio que decía: "¡Atención! ¡Atención! ¡Atención! Sus documentos, fotos, bases de datos y otros archivos importantes han sido cifrados". Todo ellos en inglés, por supuesto, pero tenía la opción, si las víctimas usaban Tor, de ir a una página donde se les decía lo mismo en multitud de idiomas para que todos pudieran entender bien el mensaje. Qué importante es saber idiomas, y más cuando hay mucho dinero en juego...


viernes, 3 de marzo de 2017

La ciberseguridad del día a día

Lo mejor de la semana en Ciberseguridad

Cuando escuchamos las palabras ciberseguridad o ciberataque tendemos a pensar en grandes empresas o instituciones públicas, algo bastante ajeno a las personas de a pie. Nada más lejos de la realidad, hoy en día estos "peligros" están en objetos cotidianos que utilizamos en nuestro día a día: desde nuestro teléfono móvil, que puede ser infectado al descargar alguna aplicación, hasta el robot de cocina que intenta facilitarnos la vida a los menos cocinillas (o ese era el objetivo principal...)

Durante el MWC2017 se han expuesto las últimas novedades del sector y, consecuentemente, se ha hablado de las posibles brechas de seguridad que existen o se pueden plantear en los próximos años. La compañía Avast aprovechó el congreso para dar a conocer los resultados de un estudio en el que han descubierto que 5,3 millones de dispositivos inteligentes son hackeables en España. Dentro de esta lista están objetos cotidianos como webcams o sistemas de vigilancia para bebés. Los ciberdelincuentes pueden crear una botnet para atacar y eliminar servidores y sitios web. Además, cuando un dispositivo está infectado, puede producir el llamado efecto dominó e infectar otros dispositivos, un riesgo mayor aún si cabe.


miércoles, 1 de marzo de 2017

Ciberseguridad y conciliación laboral

El estudio de la semana

Francia ha empezado el año 2017 con un objetivo claro: acabar con las llamadas de los jefes fuera del horario de trabajo. Para ello ha aprobado el derecho a desconectar e 'ignorar' los emails que lleguen en tus días libres o una vez pongas el pie fuera de la oficina. Con esta nueva norma se quiere conseguir un menor estrés en los trabajadores, dejar sus problemas en la oficina y no llevarlos a casa. Esta ley, sin embargo, tiene tintes contradictorios con lo que lleva siendo tendencia desde hace años: el BYOD (Bring Your Own Device) para tener los correos y la red corporativa siempre disponible tanto en tu pc como en tu smartphone personal.



Las leyes francesas pueden ser flor de un día, pero las tendencias profesionales en la transformación digital han venido para quedarse. Y sobre este asunto, entre otros, habla el nuevo estudio que Check Point ha realizado entrevistando a 1900 expertos en IT de grandes empresas de más de 1000 empleados de Estados Unidos. Los resultados han sido publicados en su informe anual 2017 Cyber Security Survey que revela que sólo el 35% de encuestados tienen “total o mucha confianza” en la seguridad global de su organización. Además, los temas que más preocupan a los expertos son los relacionados con el entorno de la nube y los dispositivos móviles.