Empresa fuerte con ciberseguridad: 2022

No dejes que los ciberdelincuentes arruinen tu Navidad: consejos de ciberseguridad

Con el aumento de las compras online y el uso de dispositivos móviles durante las fiestas de fin de año, es necesario tomar medidas de ciberseguridad para protegerse de los ataques de los ciberdelincuentes. Estos son algunos consejos para mantenerse seguro durante esta temporada:

Use contraseñas seguras: asegúrese de usar contraseñas seguras y únicas para cada una de sus cuentas en línea. Evite usar información personal o palabras comunes como contraseña y cámbielas regularmente.
No haga clic en enlaces sospechosos: los ciberdelincuentes a menudo envían enlaces maliciosos en correos electrónicos o mensajes de texto para obtener acceso a su información personal. No haga clic en enlaces sospechosos y verifique la dirección de correo electrónico antes de enviar información personal.
Utilice una red privada virtual (VPN): una VPN proporciona una conexión a Internet segura y protege su información personal cifrando su tráfico de Internet. Esto puede ser especialmente útil cuando se conecta a redes públicas de Internet en lugares como aeropuertos o cafeterías.
Mantenga sus dispositivos actualizados: asegúrese de mantener sus dispositivos, incluidas computadoras, teléfonos móviles y tabletas, al día con las últimas actualizaciones de software y parches de seguridad. Esto puede ayudar a proteger contra exploits y ataques de malware, phishing o ransomware.
Usar encriptación de datos: la encriptación de datos puede ayudar a proteger su información personal haciéndola ilegible sin una clave de desencriptación. Recuerde usar cifrado de datos en su computadora y dispositivos móviles.

Al seguir estos consejos de ciberseguridad para las fiestas de fin de año, puede disfrutar de sus celebraciones de temporada sin preocupaciones y protegiendo su información personal.

Tres consejos para mejorar la ciberseguridad cuando publicas servicios de tecnología "necesarios"

Internet nos permite conectarnos rápidamente a servicios de tecnología tales como escritorio remoto, bases de datos, entre otros, los cuales requerimos para hacer nuestras labores cotidianas, lamentablemente, el abuso de la publicación de estos servicios en Internet causa que expongamos cosas a ataques de delincuentes que buscan dinero fácil.

Antes de publicar un servicio, entre los más comunes, bases de datos, acceso remoto, pregúntese: ¿El servicio es para todo público?

Tenga en cuenta que todos los firewalls modernos tienen la posibilidad de tener conexión VPN a la red interna, inclusive si ya no está pagando el mantenimiento del equipo.

En Internet, existen muchos bots automatizados que barren constantemente las direcciones IP en búsqueda de equipos conectados para lanzar ataques automatizados, por lo que con solo poner su dirección IP pública en un equipo, este ya posiblemente puede estar siendo escaneado en búsqueda de vulnerabilidades.

Estos son tres consejos para tener en cuenta antes de publicar un servicio en Internet:

Solo publique en Internet los servicios que sean para acceso público.
Todo acceso a configuraciones de equipos de tecnología debe hacerse a través de una VPN.
Antes de publicar un servicio, ejecútele un análisis de vulnerabilidades interno para verificar que es seguro el servicio que publica y que este no va a comprometer la seguridad de la organización.

Un consejo adicional, si puede activar doble factor de autenticación en los servicios que desea publicar, hágalo, no está de más poner un escalón adicional de ciberseguridad.

En desarrollo de software, esto es lo que debes saber de pruebas tipo SAST y DAST

A menudo, los desarrolladores de software discuten acerca de que tipos de pruebas ejecutar y cuando ejecutarlas, y es que existen varias clases de pruebas dentro de las cuales, dos de las mas comunes son: DAST y SAST.

SAST: Static application security testing. Pruebas de seguridad de aplicaciones estáticas.
DAST: Dynamic application security testing. Pruebas de seguridad de aplicaciones dinámicas.

Las pruebas SAST son pruebas que buscan vulnerabilidades en el código desarrollado y estan inmersas desde el inicio del desarrollo del codigo funte de las aplicaciones.

Por otro lado, las pruebas tipo DAST, evaluan las vulnerabilidades en el aplicativo en operación.

Las dos clases de pruebas son necesarias y cubren aspectos diferentes de la seguridad. A continuación un cuadro comparativo de lo que se puede detectar en cada una de las clases de pruebas:

SAST	DAST
Se trata de una prueba de caja blanca en la que se tiene acceso al código fuente, al marco de la aplicación, al diseño y a la implementación.	Se trata de una prueba de caja negra en la que no se tiene acceso al marco interno que compone la aplicación, el código fuente y el diseño.
La aplicación completa se prueba de dentro a fuera. Este tipo de prueba se conoce a menudo como el enfoque del desarrollador.	La prueba de la aplicación se realiza desde fuera hacia dentro. Este tipo de prueba se conoce a menudo como el enfoque hacker.
No se requiere instalar la aplicación, solo se requiere eacceso al código fuente.	Se requiere desplegar la aplicacion y no necesita tener acceso al código fuente.
Suele analizar directamente el código fuente sin ejecutar ninguna aplicación.	Es sólo una herramienta que necesita ser ejecutada para escanear la aplicación.
Es una herramienta que se utiliza para encontrar vulnerabilidades de forma templana durante el ciclo de vida del desarrollo del software.	Sólo se utiliza después de correr el código y escanea la aplicación completa en busca de vulnerabilidades.
Se implementa inmediatamente después de escribir el código. Señala la vulnerabilidad en el entorno de desarrollo integrado.
Decubre vulnerabilidades tempranamente durante la fase de desarrollo lo que facilita la remediación antes de que el código se ponga en operación.	La solución de una vulnerabilidad puede ser costosa debido a que suelen descubrirse hacia el final cilco de vida del desarrollo del software y puede llegar amodificar todo el proyecto.
	La corrección no suele hacerse en tiempo real, salvo en casos de emergencia.
Esta herramienta sólo escanea código estático, lo que dificulta el descubrimiento de vulnerabilidades en tiempo de ejecución.	Esta herramienta escanea una aplicación utilizando análisis dinámicos para encontrar vulnerabilidades en tiempo de ejecución.

Conoce el decálogo del usuario remoto para un acceso seguro a la organización

Conectar un usuario a la red interna de la organización es una tarea que requiere de especial cuidado, ya que se trata de dar un acceso de forma segura a un usuario que lo requiere, por ello, si no se realiza de manera adecuada, se puede llegar a poner en riesgo a toda la organización.

En esta entrada te mostraré los 10 puntos más importantes que debes tener en cuenta cuando planeas otorgar el acceso a un usuario para que consuma recursos internos de la organización ya sea que estén en la nube o se encuentren en las instalaciones de la empresa.

Decálogo del usuario remoto

Usar VPN para conectarse a la organización.
"Siempre" que el usuario necesite hacer uso de recursos internos de la organización, este se debe conectar primero a una VPN. El compartir recursos sobre Internet para dar acceso solo a uno o varios usuarios es una mala práctica que pone en riesgo a la organización.
Utilizar un navegador seguro.
El uso de navegadores desactualizados, obsoletos o de baja reputación también ponen en riesgo la información de la empresa. Muchos de esta clase de navegadores no cifran la información de manera adecuada o tienen bugs que permiten escalar privilegios para realizar un ataque más elaborado.
Restringir el acceso de los empleados.
Recuerde que solo se deben asignar los mínimos privilegios al usuario final. Si no requiere un acceso, no lo otorgue, solo asigne los permisos y accesos estrictamente necesarios.
Usar un password manager.
Hace poco cambié de móvil y realmente es abrumador la cantidad de credenciales que se deben memorizar, por lo que recomiendo altamente el uso de un software para gestión de credenciales de acceso. Uno de los más utilizados es keepass.
Habilitar el múltiple factor de autenticación.
Póngale el camino más difícil a los perpetradores, habilite el doble factor de autenticación que está disponible en la mayoría de fabricantes como Microsoft y Google entre otros.
Usar software antimalware.
Nada más peligroso que ser atacado por ransomware, te cifra la información y pide dinero a cambio de regresarte el acceso. Use un software antimalware, la mayoría de los antivirus modernos tienen este módulo, si no lo tiene, debes cambiar de fabricante.
Entrenar al usuario final.
Que es más costoso ¿entrenar un usuario y que se vaya? o no entrenarlo y que se quede. El usuario final es la primera línea de defensa de la organización contra los ataques de los perpetradores, entre más capacitados estén, más fuerte va a estar esta línea de protección.
Mantener el software actualizado.
Una gran cantidad de troyanos, malware, virus y otros bichos, hacen presa de los dispositivos con aplicaciones o sistemas operativos desactualizados, por ello, te recomiendo mantener el software actualizado constantemente.
Cambiar las contraseñas regularmente.
Las contraseñas son como la ropa interior, no se presta y se cambia regularmente.
Usar solo el software autorizado.
La instalación de software no autorizado por parte del usuario final puede poner en riesgo la seguridad de la organización, por ello, restrinja el uso de los "usuarios administradores" para el uso exclusivo del equipo de soporte técnico de la empresa.

Aplica estos 10 consejos y te aseguro que va a tener una organización más segura.

Ciberhigiene: cuida tu salud digital, cuida tu información

Ciberhigiene es un término acuñado durante los últimos años y se refiere a cuidar la información de la misma forma que lo hacemos con el aseo personal. En este post vamos a ver cinco consejos o recomendaciones para mantener nuestra ciberseguridad al día y proteger nuestra información.

Estos son las cinco principales recomendaciones:

Antivirus: selecciones un antivirus moderno que lo proteja de virus, ransomware, páginas maliciosas entro otras. Si es para el hogar, existen antivirus de pago que tienen una versión gratuita para el hogar, si es para el trabajo, te recomiendo seleccionar un antivirus de pago, estos traen funciones adicionales que te permitirán estar más seguro.
Actualizaciones: Mantener el software actualizado es una recomendación que debes tener en cuenta, ya que muchas de las vulnerabilidades se presentan debido a la falta de actualizaciones. El ransomware hace presa de equipos sin actualizar, tanto en aplicaciones como en sistema operativo, por ello, mantén actualizado el software.
Contraseñas débiles: Las contraseñas deben ser complejas, de más de 14 caracteres, fáciles de recordar, difíciles de adivinar y como la ropa interior, no debe prestarse y debe cambiarse frecuentemente.
Multifactor: La mayoría de proveedores de software ofrecen la opción de activar un segundo factor de autenticación, hacer esto te mantendrá a salvo por si llega a verse comprometida tu contraseña.
Backups: Debes realizar backups regularmente, teniendo en cuenta la recomendacion: 3,2,1,1,0. El dato en tres sitios, dos medios de almacenamiento diferentes, una copia fuera de sitio, una copia offline y cero errores en las copias de los datos.

Sigue estos consejos tanto en el hogar como en la oficina y mantendrás tus datos a salvo de los delincuentes informáticos.

A las aplicaciones o sistemas obsoletos que siguen operando se les conoce como sistemas legacy, estos son sus riesgos

Un sistema legacy es un software, una tecnología o una aplicación obsoletos que todavía están en uso dentro de una organización porque continúan desempeñando la función para la que fueron diseñados. Los sistemas legacy a menudo ya no reciben soporte ni mantenimiento y están limitados en términos de crecimiento. Sin embargo, no se pueden reemplazar fácilmente.

En general, los sistemas legacy son críticos para las operaciones diarias, por lo que su migración o reemplazo debe evaluarse y planificarse cuidadosamente para minimizar los riesgos potenciales.

En la mayoría de los casos, los sistemas legacy no se pueden migrar debido a alguno de los siguientes factores:

Pérdida de código fuente.
Ausencia de especificaciones técnicas.
Ausencia de diagramas de diseño.
Lenguaje de programación obsoleto.
Funciona sobre librerías específicas.
Pérdida de administración del aplicativo.
Bases de datos demasiado grandes para migrarlas.
Solo quien lo diseño es quien lo puede administrar.
Nadie sabe como funciona.
El nuevo desarrollo sería muy costoso.

Existen otros factores los cuales son particulares a cada sistema legacy y a cada organización y se deben analizar en cada caso específico, independiente de esto, la organización se ve expuesta a una serie de riesgos por no poder actualizar o mejor sus sistemas legacy, estos son los más comunes:

Posibilidad de desarrollo de funciones fraudulentas por falta de auditoría de desarrollo.
Posibilidad de existencia de procedimientos no autorizados por falta de auditoría de desarrollo.
Imposibilidad de actualizar infraestructura debido a problemas de disponibilidad del servicio.
Imposibilidad de mejoras en librerías debido a incompatibilidad de software.
Robo de información por brechas de seguridad no atendidas.
Secuestro de información por falta de mantenimiento de software. (Ransomware)
Pérdida de autonomía por falta de acceso al código fuente y a diagramas de diseño.

La actualización de un sistema legacy es un reto mayor, el cual debe ser acometido lo más pronto posible para evitar riesgo de ciberseguridad y dependencia de tecnología obsoleta.

Conoce 10 preguntas que te ayudarán a revisar la postura de ciberseguridad de tu organización

En esta entrada te proporcionaré 10 preguntas que te van a ayudar a revisar la postura de ciberseguridad de tu organización. Las respuestas a estas preguntas te permitirán comprobar que tan madura está la postura de ciberseguridad y en que punto debes mejorarla.

Estas preguntas solo es una evaluación superficial, si deseas verificar la postura de ciberseguridad de tu organización, te recomiendo un GAP analysis usando un marco de ciberseguridad como por ejemplo, el marco de ciberseguridad de NIST.

Por ahora, estas son las 10 preguntas, cuyas respuestas te darán una visión acerca de la postura de ciberseguridad de tu organización:

¿Qué tan segura es nuestra organización?
¿Nuestra organización tiene la estrategia de ciberseguridad adecuada para defenderse de ciberataques?
¿Tengo identificados los activos críticos y los principales riesgos a los cuales están expuestos?
¿Qué tan buenos son los controles de seguridad que tenemos?
¿Qué tan efectivo es nuestro plan de respuesta a incidentes?
¿Qué tan efectivo es nuestro plan de recuperación de desastres?
¿Estamos en una posición en la que podemos medir nuestra resiliencia de ciberseguridad?
¿Que tan vulnerables somos a posibles ataques y posibles violaciones de datos?
¿Tenemos un programa de gestión de vulnerabilidad y qué tan efectivo es el programa?
¿Tengo un presupuesto adecuado asignado a ciberseguridad para proteger a la organización y que esta continúe generando ingresos?

Recuerda realizar un analysis GAP para revisar la postura completa de ciberseguriad y poder diseñar un plan para mejorar su madurez.

Conoce como aplicar el marco de ciberseguridad del NIST adaptado para pequeños negocios

El marco de ciberseguridad del NIST ofrece una guía metodológica acerca de como abordar el tema de ciberseguridad para proteger los datos y la infraestructura de las organizaciones.

1. Identificar

Desarrollar una comprensión organizativa para gestionar el riesgo de ciberseguridad para los sistemas, las personas, los activos, los datos y las capacidades.

Identificar y controlar quién tiene acceso a la información empresarial.
Realizar comprobaciones de antecedentes a los empleados.
Exigir cuentas de usuario individuales para cada empleado.
Crear políticas y procedimientos de ciberseguridad.

2. Proteger

Desarrollar y aplicar las salvaguardias adecuadas para garantizar la prestación de servicios críticos.

Formar a los empleados y limitar su acceso a los datos.
Instalar protectores de sobretensión y sistemas de alimentación ininterrumpida.
Parchear los sistemas operativos y las aplicaciones de forma rutinaria.
Instalar y activar cortafuegos en todas las redes empresariales.
Puntos de acceso y redes inalámbricas seguras.
Configurar los filtros de la web y del correo electrónico.
Utilizar la encriptación para la información sensible.
Deshágase de los ordenadores y soportes antiguos de forma segura.

3. Detectar

Desarrollar y poner en práctica las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad.

Instalar y actualizar programas antivirus, antiespías y otros programas antimalware.
Mantener y controlar los registros.
Observe la actividad inusual de las contraseñas.

4. Responder

Desarrollar y poner en marcha las actividades adecuadas para tomar medidas en relación con un incidente de ciberseguridad detectado.

Desarrollar y mantener un plan para desastres e incidentes cibernéticos.
Notifique a sus clientes y a las autoridades.

5. Recuperar

Desarrollar y poner en marcha las actividades adecuadas para mantener los planes de resiliencia y restablecer cualquier capacidad o servicio que se haya visto perjudicado debido a un incidente de ciberseguridad.

Realice copias de seguridad completas de los datos e información importantes de la empresa.
Programar copias de seguridad incrementales.
Mejorar los procesos, procedimientos y tecnologías.

Esta es la adaptación de marco de ciberseguridad del NIST para pequeñas organizaciones, siga las recomendaciones para asegurar los datos y la infraestructura de su organización.

Te muestro cinco consejos para proteger infraestructura OT y no morir en el intento

Las redes OT o redes industriales requieren de un tipo de tratamiento diferente al que se les da a las redes IT, por lo que deben tratarse de manera diferente, sin embargo, estos los dos tipos de redes se debe trabajar la ciberseguridad.

Tenga en cuenta que a nivel técnico el software para trabajar la ciberseguridad es diferente para los dos tipos de redes y debe contar con personal experimentado para trabajar en cada uno de ellas.

A continuación, te dejo cinco (5) consejos que te pueden ayudar cuando quiera revisar la ciberseguridad de las redes OT:

Limitar la exposición de la información del sistema: La información operativa, información del sistema y los datos de configuración son elementos cruciales para las operaciones de infraestructuras críticas. No se puede exagerar la importancia de mantener la confidencialidad de estos datos. Solo debe tener acceso el personal mínimo necesario.
Identificar y asegurar los puntos de acceso remoto: Los propietarios/operadores deben mantener un conocimiento detallado de todos los sistemas instalados, incluyendo qué puntos de acceso remoto están o podrían estar operando en la red del sistema de control. Crear un "inventario de conectividad" completo es un paso fundamental para asegurar el acceso al sistema.
Restringir las herramientas y los scripts: Limite el acceso a las herramientas y scripts de aplicación de la red y del sistema de control a los usuarios legítimos que realicen tareas legítimas en el sistema de control. A menudo no es posible eliminar por completo las herramientas y los scripts y parchear los componentes del sistema de control integrado para detectar las vulnerabilidades explotables. Por lo tanto, aplique cuidadosamente las limitaciones de acceso y uso a los procesos y componentes particularmente vulnerables para limitar la amenaza.
Realice auditorías de seguridad periódicas: Una auditoría de este tipo tiene como objetivo identificar y documentar las vulnerabilidades del sistema, las prácticas y los procedimientos que deben eliminarse para mejorar la postura de ciberdefensa y, en última instancia, evitar que los ciberagentes maliciosos puedan causar los efectos que pretenden.
Implementar un entorno de red dinámico: Un pequeño cambio puede suponer un gran avance para interrumpir el acceso obtenido previamente por un actor malicioso.

Recuerde, la ciberseguridad es diferente en cada tipo de red y el software para gestionar la ciberseguridad también es diferente. Asesórese de consultores especializados en el tema.

Que debes hacer para prevenir un ataque de ransomware o secuestro de información

Los ataques de ransomware o secuestro de información están creciendo a pasos agigantados y no distinguen entre empresas grandes o pequeñas, sin embargo, los consejos para prevenirlos son los mismos para empresas de cualquier tamaño.

Acá te dejo ocho consejos del NIST para que te mantengas protegido contra esta clase de ataques:

Utilizar siempre un software antivirus: configure su software para que analice automáticamente los correos electrónicos y las unidades flash.
Mantenga su ordenador totalmente parcheado: realiza comprobaciones para mantener todo al día.
Bloquear el acceso a sitios de ransomware: Use productos de seguridad o servicios que bloqueen el acceso a sitios conocidos de ransomware.
Permitir únicamente aplicaciones autorizadas: Configure los sistemas operativos o utilice software de terceros para permitir el uso de aplicaciones autorizadas en los computadores.
Restringir los dispositivos de propiedad personal: se debe restringir el acceso de dispositivos personales a las redes oficiales.
Utilice cuentas de usuarios estándar: Use cuentas de usuarios estándar en lugar de cuentas con privilegios o administrativas siempre que sea posible.
Evite el uso de aplicaciones personales: En los equipos de trabajo, evite el uso de sitios web y aplicaciones personales tales como email, chat y redes sociales.
Cuidado con las fuentes desconocidas: No abra archivos o de clic en links de fuentes desconocidas a menos que primero corra un antivirus o revise el link cuidadosamente.

Para mayor información puede consultar: https://csrc.nist.gov/projects/ransomware-protection-and-response.

Delito en crecimiento, el robo de identidad, tips para evitarlo

Con los avances en nuevas tecnologías, los procesos se han agilizado de una forma exponencial, ya no es necesario ir físicamente a un sitio para obtener un servicio o un producto, basta con realizar todo de forma virtual usando la Internet como medio de comunicación.

A esto están alineándose muchas empresas que ven en Internet una herramienta para incrementar sus ventas, lamentablemente, también viene consigo un creciente delito: robo de identidad. Los delincuentes informáticos obtienen los datos de la víctima de forma fraudulenta y los utilizan para ejecutar transacciones a su nombre.

Algunos de los delitos mas comunes que vienen con el robo de identidad son: créditos bancarios, cuentas de ahorros, autorizaciones de crédito, compra de mercancía en tiendas en línea entre otros.

Por ello, para evitar ser víctima del robo de identidad, aquí te dejo siete consejos:

Evite dar información personal por teléfono.
No envíe información personal por chat, whatsapp, telegram, messeger, otros.
Emplee gestores de contraseñas para almacenarlas.
No permita que le tomen copia digital a su documento de identidad.
No almacene las contraseñas en los navegadores.
Compre una trituradora de papel para destruir información confidencial.
No publique información confidencial en redes sociales.

Estos son consejos básicos, le recomiendo buscar en Internet mas información al respecto.

Te muestro los doce tipos de phishing más utilizados por los delincuentes para robar tus datos

Por definición, el phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.

Estos son los doce encabezados de phishing más utilizados por los delincuentes informáticos para hacerse con los datos de las posibles víctimas:

Compañero de trabajo. Programa de nuestra reunión de mañana
Medios de comunicación social. "¿Has visto esta foto tuya? LOL"
Dropbox. Haga clic para ver el archivo que alguien ha compartido
Empresa de software. Actualización obligatoria para asegurar su cuenta
Medios de comunicación social. Nuevo sistema de acceso
Tribunal. Orden de comparecencia; aviso adjunto
Banco principal. Haga clic para restaurar el acceso a la cuenta
HACIENDA. Se le debe una devolución de impuestos
Comerciante en línea. Suspensión temporal de la cuenta
Tarjeta de crédito. Abrir el archivo adjunto para confirmar los datos de la cuenta
Concurso. Vale para el afortunado titular de la tarjeta de crédito
Concurso. Gran premio de una empresa de refrescos

Estos son algunos de fabricación local:

Correo de la DIAN informando de evasión de impuestos.
Bloqueo de cuenta bancaria con link para desbloquearla.
Mensaje de texto avisando de compra en ishop y como bloquear la compra.
Correo con información sobre multa de tránsito.

Y los típicos de ganarse motos, casas y dinero en efectivo por parte de Bancolombia, Exito, RCN y Caracol, entre otros.

Existen herramientas automatizadas para el monitoreo de esta clase de ataques vía correo electrónico, sin embargo, algunos de estos mensajes son elaborados para ataques puntuales, por lo que algunos mensajes podrían no ser filtrados por los escáneres de phishing, es aquí donde lo mas adecuado es la capacitación continua a usuario final.

Si quieres leer más al respecto, te recomiendo el siguiente link:

Fuente: https://blog.knowbe4.com/which-phishing-emails-fooled-the-most-people-infographic

Si no quiere invertir en ciberseguridad apague la tecnología

La tecnología informática es uno de los principales pilares de toda organización que desee mejorar sus procesos incorporando hardware y software para que les permita agilizar el procesamiento de la información, debe tener en cuenta que la ciberseguridad es un componente inherente a la tecnología informática.

Anteriormente, era fácil identificar un ataque cibernético porque los atacantes se ocupaban de dejar sin servicio el sitio web de las organizaciones o algún otro servicio, esto lo publicaban para ganar fama y prestigio como un "hacker peligroso".

Hoy en día, los delincuentes informáticos solo quieren robar la mayor cantidad de información y cuando digo robar no me refiero a extraer la información y borrarla de sitio, me refiero a copiarla y usarla posteriormente para diferentes fines como puede ser la extorsión, venta de información, espionaje industrial, entre otros.

Aquí vienen dos datos importantes, el 71% de los ataques cibernéticos tienen una motivación económica, en otras palabras, los delincuentes buscan obtener dinero de preferencia digital, el cual es actualmente difícil de rastrear. El segundo dato importante es que a una organización le toma aproximadamente 280 días en detectar un ciberataque, este dato puede crecer o disminuir de acuerdo con la experticia del equipo de ciberseguridad.

Si no ha contemplado involucrar la ciberseguridad como uno de sus objetivos empresariales, su organización puede estar en alguno de estas tres opciones:

Fue comprometida y no se dio cuenta.
Está siendo víctima de un ataque y no ha sido detectado.
Es posible blanco de ataque para los delincuentes, solo es cuestión de tiempo.

Por todo esto, si su organización depende de la tecnología para operar, debe tener involucrada la ciberseguridad como medida de protección. Para determinar que tan importante es la tecnología, por favor, mida cuento es el tiempo su empresa puede funcionar sin el componente tecnológico.

Véalo de esta forma:

"La ciberseguridad busca proteger a la empresa para que siga produciendo dinero."

Dedique presupuesto a la ciberseguridad es para el beneficio de su negocio.

Consejos del FBI para proteger su correo electrónico empresarial

El FBI ofrece una serie de consejos a las empresas que desean protegerse mejor de los ataques de compromiso de correo electrónico comercial, estos son siete (7) consejos que se recomienda sean compartidos con sus empleados para mantener la seguridad de los buzones empresariales:

Tenga cuidado con la información que comparte en línea o en las redes sociales. Al compartir abiertamente cosas como nombres de mascotas, escuelas a las que asistió, enlaces a miembros de la familia y su cumpleaños, puede darle a un estafador toda la información que necesitan para adivinar su contraseña o responder sus preguntas de seguridad.
No haga clic en nada en un correo electrónico o mensaje de texto no solicitado pidiéndole que actualice o verifique la información de la cuenta. Busque el número de teléfono de la compañía por su cuenta (no use el que proporciona un estafador potencial) y llame a la compañía para preguntar si la solicitud es legítima.
Examine cuidadosamente la dirección de correo electrónico, la URL y la ortografía utilizadas en cualquier correspondencia. Los estafadores usan ligeras diferencias para engañarte y ganar tu confianza.
Tenga cuidado con lo que descarga. Nunca abra un archivo adjunto de correo electrónico de alguien que no conozca, y tenga cuidado con los archivos adjuntos de correo electrónico reenviados.
Configure la autenticación de dos factores (o multifactor) en cualquier cuenta que lo permita, y nunca la deshabilite.
Verifique las solicitudes de pago y compra en persona si es posible o llamando a la persona para asegurarse de que sea legítimo. Debe verificar cualquier cambio en el número de cuenta o los procedimientos de pago con la persona que realiza la solicitud.
Sea especialmente cauteloso si el solicitante lo presiona para que actúe rápidamente.

Puede hallar más información en le siguiente link: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise

Seis recomendaciones para no ser presa de ataques ransomware

En este post vamos a ver seis recomendaciones a tener en cuenta para proteger los usuarios de su organización contra los ataques cibernéticos de tipo ransomware.

Seis recomendaciones para mantener su organización a salvo de riesgos ransomware:

Mantenga un programa de seguridad de defensa en profundidad. El ransomware es solo uno de los muchos riesgos que enfrentan los usuarios de TI. Tener múltiples capas de defensa es la mejor práctica clave.
Considere las tecnologías de protección avanzada. El uso de software de detección y respuesta puede ayudar a las organizaciones a identificar riesgos potenciales que podrían conducir a la explotación de ransomware.
Educar a los empleados sobre los riesgos de la ingeniería social. A menudo, sus usuarios hacen clic en algo que no deberían y esto puede llevar a una infección por ransomware. La educación y la vigilancia son importantes.
Parche regularmente. Los ataques de ransomware a menudo se dirige a las vulnerabilidades conocidas. Al mantener actualizados el software y el firmware, se puede eliminar este vector de ataque.
Realice copias de seguridad frecuentes de datos críticos. El objetivo del ransomware son los datos. Al tener copias de seguridad confiables, se puede minimizar el riesgo de pérdida de datos.
Considere los ejercicios de ataques simulados. La preparación para el ransomware con un ejercicio de ataque simulado puede identificar posibles espacios y garantizar que esté vigente el proceso correcto para mitigar y recuperarse de un posible ataque ”.

Por fin, conoce el Top 5 - consejos de ciberseguridad del FBI

Este post es una traducción de "TOP 5 FBI CYBER SAFETY TIPS" hallado en la siguientes dirección: FBI issues warning over alarming increase in cyber security attacks y corresponde a los cinco (5) consejos mas recomendados por parte del FBI para mantenerte seguro en Internet.

Top 5 Consejos de seguridad cibernética del FBI

Mantenga los sistemas y el software actualizado e instale un programa antivirus fuerte y de buena reputación.
Cree una frase de contraseña fuerte y única para cada cuenta en línea que tenga y cámbielas regularmente. Agregar autenticación multifactor proporciona una capa adicional de seguridad.
No abra ningún archivo adjunto a menos que esté esperando el archivo, el documento o la factura y haya verificado la dirección de correo electrónico del remitente.
Tenga cuidado al conectarse a una red de Wi-Fi pública y no realice ninguna transacción confidencial, incluidas las compras, cuando se encuentre en una red pública. Si necesita conectarse a Wi-Fi público, descargue una aplicación VPN (red privada virtual) para obtener seguridad adicional. Muchos productos de seguridad comunes ofrecen una opción VPN.
Evite usar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los delincuentes informáticos han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en dispositivos que accedan a estos puertos. Lleve su propio cargador y cable USB y use una toma de corriente.

Si desea mayor información, la puede encontrar en ingles en el siguiente sitio: https://www.fbi.gov/investigate/cyber

Te comparto el modelo de madurez de hacking ético propuesto por Scynthe para tratar la ciberseguridad de tu organización

El siguiente post es tomado de una entrada hallada en el sitio web de Scythe, una plataforma de emulación de adversarios para el mercado empresarial y de consultoría en ciberseguridad.

En la entrada se clasifica el nivel de evolución de las pruebas de hacking ético en seis niveles de evolución, al final de la entrada hallará las URLs al sitio web de Scythe y la entrada original, por el momento, un resumen es español del articulo.

enjoy ;-)

El Modelo de Madurez de Hacking Ético propuesto le permite a las organizaciones evaluar y fortalecer su postura de seguridad a través del hacking ético.

Vulnerability scanning (Exploración de vulnerabilidades)

El escaneo de una organización en busca de vulnerabilidades con un escáner automatizado es la más simple de las evaluaciones de hacking ético que una organización debe realizar. El objetivo es inventariar e identificar las vulnerabilidades conocidas en los sistemas y aplicaciones. Este paso requiere un esfuerzo mínimo siempre que se disponga de las herramientas adecuadas.

Vulnerability assessment (Evaluación de la vulnerabilidad)

Una vez completado el escaneo de vulnerabilidades, un hacker ético puede validar las vulnerabilidades manualmente para eliminar los falsos positivos y calcular una calificación de riesgo precisa.

Penetration testing (Pruebas de penetración)

Explotan las vulnerabilidades identificadas. Consisten en explotar las vulnerabilidades en circunstancias controladas; de manera profesional y segura. pentesters suelen encontrar vulnerabilidades que no son conocidas por los fabricantes y se centran en eludir los controles preventivos.

Red team (Equipo Rojo)

Se centra en probar a las personas, los procesos y la tecnología. Los principales clientes son los defensores que se centran en los controles de detección y alerta. El Equipo Rojo emula las Tácticas, Técnicas y Procedimientos (TTP) de los adversarios para poner a prueba a una organización de forma integral.

Purple team (Equipo Morado)

Es un equipo virtual formado por el Equipo Rojo y el Equipo Azul. Un ejercicio del Equipo Púrpura es un compromiso abierto en el que la actividad de ataque se expone y se explica al Equipo Azul a medida que se produce.

Adversary emulations (Emulaciones de adversarios)

Es un tipo de compromiso de hacking ético en el que un equipo rojo imita cómo opera un atacante, aprovechando marcos como MITRE ATT&CK para identificar tácticas, técnicas y procedimientos (TTP) específicos que un atacante real podría utilizar contra una organización.

El modelo es propuesto por esta empresa: scythe

Este es el artículo original: SCYTHE’s Ethical Hacking Maturity Model

"El primer paso para llegar a la meta es empezar"... HH

Conoce la última actualización a las mejores prácticas de copias de respaldo la cual mejora la integridad del dato

Hace un tiempo escribí un artículo acerca de las mejores prácticas para tener un backup o copia de respaldo de los datos más importantes de la organización, como el mundo de la tecnología está en constante actualización, debo de adicionar una parte final que me parece es de total aceptación.

Las mejores prácticas dicen que se debe aplicar la táctica tres, dos, uno, uno, 3211, es decir, el dato debe estar en tres sitios diferentes, debe estar almacenado en dos medios distintos, una copia deberá estar fuera de la organización y otra copia deberá estar fuera de línea.

Hasta aquí todo va bien, sin embargo, surge una pregunta, ¿Qué sucede si no se puede tener acceso al dato contenido en el backup?, es decir, que por una u otra razón, el dato está corrupto o cifrado si acceso y nunca se verificó que la copia de respaldo pudiese ser restaurada.

Es aquí, donde cobra una gran importancia el hecho de revisar que la copia de respaldo tenga cero errores, dicho de otra manera, que se compruebe que el dato contenido puede ser restaurado.

La actualización de las mejores prácticas en cuanto a copia de respaldo se refiere, deberá quedar de la siguiente forma:

3: dato en tres sitios diferentes.
2: dato almacenado en dos medios diferentes.
1: una copia fuera de la organización.
1: una copia fuera de línea.
0: cero copias con errores.

Recuerda que una copia de respaldo es uno de los pilares de la existencia de una organización.

Ahorra tiempo y recursos, conoce la hoja de ruta sobre concientización en seguridad para capacitar a tus empleados

Ya no es un secreto que el eslabón más débil de la cadena de seguridad es el usuario final. Aquí, cobra gran importancia el tener un plan de concientización maduro, por ello, para medir el nivel de madurez, de tu programa de concientización, puedes apoyarte del Modelo de Madurez de Concientización en Seguridad de SANS.

El artículo es muy bueno, por lo que solo traduciré parte de este y al final, dejaré el vínculo a la información original. Espero lo disfruten.

Al igual que las computadoras, las personas almacenan, procesan y transfieren información. Sin embargo, se ha hecho muy poco para asegurar este sistema operativo "humano". Como resultado, las personas, en lugar de la tecnología, son ahora el principal vector de ataque.

La capacitación en concientización sobre seguridad es una de las formas más efectivas de abordar este problema. Esta hoja de ruta está diseñada para ayudar a su organización a construir, mantener y medir un programa de alto impacto sobre concientización en seguridad para reducir el riesgo al cambiar el comportamiento de las personas y también cumple con sus requisitos legales, de cumplimiento y auditoría.

Para usar esta hoja de ruta, primero, identifique el nivel de madurez de su programa de conciencia de seguridad y dónde desea llevarlo. Luego siga los pasos detallados para llegar allí.

(1) El programa no existe.

Los empleados no tienen ni idea de que son un objetivo, no conocen ni entienden las políticas de seguridad de la organización y son fácilmente víctimas de ataques o de sus propios errores.

(2) Centrado en el cumplimiento.

Programa diseñado principalmente para cumplir con requisitos específicos de cumplimiento o auditoría. La formación se limita a una base anual o ad hoc. Los empleados no están seguros de las políticas de la organización, de su papel en la protección de los activos de información de su organización y de cómo prevenir, identificar o notificar un incidente de seguridad.

(3) Promover la concienciación y el cambio de comportamiento.

El programa identifica los temas de formación que tienen mayor impacto en el apoyo a la misión de la organización y se centra en esos temas clave. El programa va más allá de la formación anual e incluye un refuerzo continuo a lo largo del año. Los contenidos se comunican de forma atractiva y positiva para fomentar el cambio de comportamiento en el trabajo, en casa y en los viajes. Como resultado, los empleados, los contratistas y el personal comprenden y siguen las políticas de la organización y reconocen, previenen y notifican activamente los incidentes.

(4) Mantenimiento a largo plazo.

El programa cuenta con procesos y recursos para un ciclo de vida a largo plazo, incluyendo (como mínimo) una revisión y actualización anual tanto del contenido de la formación como de los métodos de comunicación. Como resultado, el programa va más allá de cambiar los comportamientos y empieza a cambiar la cultura de la organización.

(5) Marco de métricas.

El programa cuenta con un sólido marco de medición para seguir los progresos y medir el impacto. Como resultado, el programa mejora continuamente y es capaz de demostrar la rentabilidad de la inversión.

Puedes obtener mayor información en el siguiente link: https://www.sans.org/blog/security-awareness-roadmap-updated-version/

Conoce cuales son las vulnerabilidades que debes atender lo más pronto posible para evitar problemas de ciberseguridad

En este post vamos a analizar el catálogo de las vulnerabilidades conocidas y que son más explotadas de acuerdo con el catálogo suministrado por la agencia de los Estados Unidos: CISA (Cybersecurity and Infrastructure Security Agency).

A la fecha de publicación de este artículo, CISA tienen publicadas un total de 794 vulnerabilidades conocidas y publicadas.

El TOP cinco (5) de las marcas con mayor número de vulnerabilidades explotadas es:

Microsoft: 234
Adobe: 59
Cisco: 59
Apple: 49
Google:39

Entre las cinco (5) marcas suman el 55% del total de las vulnerabilidades reportadas.

Le tengo una buena noticias, el 93% de las vulnerabilidades se solucionan aplicando los parches de seguridad suministrados por su respectivo fabricante de software.

Puede consultar el catálogo completo de las vulnerabilidades más explotadas en la siguiente URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Para revisar cuáles de estas vulnerabilidades están presentes en su infraestructura, va a necesitar de un software para análisis de vulnerabilidades como Nessus de Tenable, si requiere los servicios, puede contactarme por email: hh@hectorherrera.net.

Conoce cinco consejos finales de ciberseguridad para mantenerte seguro en Internet

Con esta tercera entrega finalizamos el ciclo de consejos de ciberseguridad, ponlos en practica para mantenerte seguro.

1. Invierte en actualizaciones de seguridad

Intenta invertir en actualizaciones de seguridad cuando estén disponibles. ¡Es mejor asumir los costos de seguridad que pagar las consecuencias de una violación de seguridad.

2. Realice una copia de seguridad de datos importantes

Los datos importantes se pueden perder como resultado de una violación de seguridad. Para asegurarse de que esté preparado para restaurar los datos una vez que se pierda, debe asegurarse de que su información importante esté respaldada con frecuencia en la nube o en un dispositivo de almacenamiento local. Propenda por un plan de backup 3,2,1-1.

3. Entrenar a los empleados

La clave para hacer que funcione la ciberseguridad es asegurarse de que sus empleados estén bien capacitados, sincronizados y ejercer consistentemente prácticas de seguridad. A veces, un error de un empleado capacitado incorrectamente puede hacer que todo un sistema de seguridad se desmorone.

4. Use https en su sitio web

Tener un certificado SSL instalado y HTTPS habilitado en su sitio web ayudará a cifrar toda la información que viaja entre el navegador de un visitante y su servidor web.

5. Emplee un hacker de "sombrero blanco" o hacker ético

No todos los hackers son malos. Algunos piratas informáticos exponen los riesgos de seguridad en aras de ayudar a otros a mejorar su ciberseguridad al mantenerlos conscientes de los defectos de seguridad y parcharlos. Estos piratas informáticos son conocidos como hackers de "sombrero blanco". Podría beneficiarlo contratar uno para ayudarlo a encontrar riesgos que nunca supo que tenía.

Conoce otros siete consejos importantes del mundo de la ciberseguridad

Esta entrada contiene siete consejos adicionales para el mundo de la ciberseguridad. Ponlos en práctica para mantener a raya a los delincuentes informáticos.

1. ¡No seas perezoso con tus contraseñas!

Pon más esfuerzo para crear tus contraseñas. Puede usar una herramienta como HowSecusismyPassword.net para averiguar qué tan seguras son sus contraseñas.

2. Deshabilite Bluetooth cuando no lo necesite

Los dispositivos se pueden piratear a través de Bluetooth y, posteriormente, su información privada puede ser robada. Si no hay razón para tener su Bluetooth encendido, ¡apáguelo!

3. Habilitar la autenticación de 2 factores

Muchas plataformas ahora le permiten habilitar la autenticación de 2 factores para mantener sus cuentas más seguras. Es otra capa de protección que ayuda a verificar que en realidad es usted quien accede a su cuenta y no a alguien que no está autorizado. Habilite esta función de seguridad cuando pueda.

4. Compruebe dos veces por HTTPS en sitios web

Cuando está en un sitio web que no está utilizando HTTPS, no hay garantía de que la transferencia de información entre usted y el servidor del sitio sea segura. Verifique que un sitio use HTTPS antes de regalar información personal o privada.

5. Escanee dispositivos de almacenamiento externos en búsqueda de virus

Los dispositivos de almacenamiento externos son tan propensos al malware como los dispositivos de almacenamiento interno. Si conecta un dispositivo externo infectado a su computadora, el malware puede extenderse. Siempre escanee los dispositivos externos para el malware antes de acceder a ellos.

6. Evite usar redes públicas

Cuando se conecta a una red pública, está compartiendo la red con todos los que también están conectados. Cualquier información que envíe o recupere en la red es vulnerable. Manténgase alejado de las redes públicas o use una VPN cuando esté conectado a una.

7. Evite la mentalidad "lo suficientemente segura"

A menos que estés completamente aislado del resto del mundo, no existe el "lo suficientemente seguro". Las grandes empresas como Facebook invierten una fortuna en seguridad cada año, pero aún se ven afectadas por los ataques cibernéticos.

Conoce siete de los consejos más importantes del mundo de la ciberseguridad

En este post, te voy a mostrar 7 de los consejos más importantes del mundo de la ciberseguridad, por favor aplícalos y compártelos.

1. Mantenga el software actualizado

Las compañías de software generalmente proporcionan actualizaciones de software por 3 razones: para agregar nuevas funciones, corregir errores conocidos y actualizar la seguridad. Siempre, actualice la última versión de su software para protegerse de las vulnerabilidades de seguridad nuevas o existentes.

2. Evite abrir correos electrónicos sospechosos

Si un correo electrónico parece sospechoso, no lo abra porque podría ser una estafa de phishing. Alguien podría estar hacerse pasar por otra persona o empresa para obtener acceso a su información personal. A veces, los correos electrónicos también pueden incluir archivos adjuntos o enlaces que pueden infectar sus dispositivos.

3. Mantenga el hardware actualizado

El hardware informático obsoleto puede no admitir las actualizaciones de seguridad de software más recientes. Además, el hardware antiguo hace que sea más lento responder a los ataques cibernéticos si suceden. Asegúrese de usar hardware de computadora que esté más actualizado.

4. Use una solución segura para compartir archivos

Adopte una solución segura para compartir archivos y preferiblemente que estos archivos estén cifrados mientras están en tránsito y en reposo para evitar el acceso no autorizado y mantener sus archivos seguros. Después de todo, sus archivos son tan seguros como las herramientas que utiliza para compartirlos.

5. Use antivirus y antimalware

Mientras esté conectado a la web, es imposible tener una protección completa y total de malware. Sin embargo, puede reducir significativamente su vulnerabilidad al garantizar que tenga un antivirus y al menos un antimalware instalado en sus computadoras.

6. Use una VPN para privatizar sus conexiones

Para una red más segura y privatizada, utilice una red privada virtual (VPN). Cifrará su conexión y protegerá su información privada, incluso de su proveedor de servicios de Internet.

7. Verifique los enlaces antes de hacer clic

Los enlaces se pueden disfrazar fácilmente como algo que no son, por lo que es mejor verificar dos veces antes de hacer clic en un hipervínculo. En la mayoría de los navegadores, puede ver la URL objetivo al pasar el mouse por encima del enlace. Haga esto para verificar los enlaces antes de hacer clic en ellos.

Descubre el peligro de usar una computadora de un tercero para acceder a tus datos personales

En este post vamos a ver los peligros de acceder a tus datos personales por medio de un computador de un quiosco, café Internet o de un tercero y que debes hacer para evitar perder tu información.

Aunque, en la actualidad es posible acceder desde nuestro móvil a todos nuestros datos en Internet, en algunas ocasiones se requiere de una computadora personal por posibles trabajos que se deban hacer que no se pueden realizar desde el móvil.

Para robar los datos, los delincuentes pueden utilizar aparatos o software llamados keyloggers. La función de estos artefactos es la de capturar la información que es introducida por teclado o mouse, y enviarla al delincuente.

Cuando estos keyloggers son por hardware, se debe tener acceso físico a la computadora para introducir estos aparados entre el teclado y el equipo. Ahora, con las nuevas tecnologías, es posible interceptar dispositivos bluetooth para revisar que se esta escribiendo en el teclado.

Cuando el keylogger es por software, el ataque puede llegar desde un link malintencionado, una USB envenenada o un software pirata instalado.

Recomendación final: no use equipos prestados, pueden tener keyloggers que pueden robar tu información.

Conoce una de la principales artimañas de un hacker para hacerse con tu información

Hemos oído hablar de ataque de hacker que se roban la información de la organización y superaron todos los controles de seguridad que se tenían ... ¿Cómo lo hicieron?

A pesar de tener firewalls, contraseñas fuertes, segregación de ambientes y otros controles, la manera más fácil que tienen los delincuentes informáticos para hacerse con nuestra información es ... Atacar directamente a los backups o copias de respaldo.

La mayoría de las copias de respaldo o backups son datos sin contraseñas de acceso o los permisos de acceso son fácilmente superables debido a que no se tiene control sobre los datos.

Es altamente recomendado que las copias de respaldo o backups sean realizadas cifrando los datos, es decir, que para tener acceso a los datos se deba suministrar una contraseña de acceso.

Adicionalmente, como en algunos casos, los backups son almacenados en redes o sitios de terceros, se recomienda que los datos estén cifrados, con esto se garantiza que solo las personas debidamente autorizadas van a tener acceso a la información.

Los backups no cifrados son presa fácil de los delincuentes informáticos. Cifre o "encripte" los datos que vayan a permanecer en redes o dispositivos de terceros.

Conoce las palabras más usadas cuando se habla de ataques de hackers a nuestra organización

En este post vas a conocer el significado de las palabras más utilizadas en los artículos que hablan de ataque de delincuentes informáticos a nuestros equipos informáticos.

Este es el listado de las palabras más utilizadas, si desea mayor información, por favor revise el link al final del listado:

Malware (código dañino): Palabra que deriva de los términos malicious y software. Cualquier pieza de software que lleve a cabo acciones como extracción de datos u otro tipo de alteración de un sistema puede categorizarse como malware. Así pues, malware es un término que engloba varios tipos de programas dañinos.
Virus: Tipo de malware cuyo principal objetivo es modificar o alterar el comportamiento de un sistema informático sin el permiso o consentimiento del usuario. Se propaga mediante la ejecución en el sistema de software, archivos o documentos con carga dañina, adquiriendo la capacidad de replicarse de un sistema a otro. Los métodos más comunes de infección se dan a través de dispositivos extraíbles, descargas de Internet y archivos adjuntos en correos electrónicos. No obstante, también puede hacerlo a través de scripts, documentos, y vulnerabilidades XSS presentes en la web. Es reseñable que un virus requiere la acción humana para su propagación a diferencia de otro malware, véase Gusano.
Gusano: Programa malicioso que tiene como característica principal su alto grado de dispersabilidad. Su fin es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros equipos informáticos, aprovechándose de todo tipo de medios como el correo electrónico, IRC, FTP, correo electrónico, P2P y otros protocolos específicos o ampliamente utilizados.
Troyano: Tipo de malware que se enmascara como software legítimo con la finalidad de convencer a la víctima para que instale la pieza en su sistema. Una vez instalado, el software dañino tiene la capacidad de desarrollar actividad perjudicial en segundo plano. Un troyano no depende una acción humana y no tiene la capacidad de replicarse, no obstante, puede tener gran capacidad dañina en un sistema a modo de troyanos o explotando vulnerabilidades de software.
Programa espía (spyware): Tipo de malware que espía las actividades de un usuario sin su conocimiento o consentimiento. Estas actividades pueden incluir keyloggers, monitorizaciones, recolección de datos así como robo de datos. Los spyware se pueden difundir como un troyano o mediante explotación de software.
Rootkit: Conjunto de software dañino que permite el acceso privilegiado a áreas de una máquina, mientras que al mismo tiempo se oculta su presencia mediante la corrupción del Sistema Operativo u otras aplicaciones. Denotar que por máquina se entiende todo el espectro de sistemas IT, desde smartphones hasta ICS. El propósito por tanto, de un rootkit es enmascarar eficazmente payloads y permitir su existencia en el sistema.
Dialer: Tipología de malware que se instala en una máquina y, de forma automática y sin consentimiento del usuario, realiza marcaciones telefónicas a número de tarificación especial. Estas acciones conllevan costes económicos en la víctima al repercutir el importe de la comunicación.
Ransomware: Se engloba bajo este epígrafe a aquel malware que infecta una máquina, de modo que el usuario es incapaz de acceder a los datos almacenados en el sistema. Normalmente, la víctima recibe posteriormente algún tipo de comunicación en la que se le coacciona para que se pague una recompensa que permita acceder al sistema y los archivos bloqueados.
Bot dañino: Una botnet es el nombre que se emplea para designar a un conjunto de máquinas controladas remotamente con finalidad generalmente maliciosa. Un bot es una pieza de software maliciosa que recibe órdenes de un atacante principal que controla remotamente la máquina. Los servidores C&C habilitan al atacante para controlar los bots y que ejecuten las órdenes dictadas remotamente.
RAT: Del inglés Remote Access Tool, se trata de una funcionalidad específica de control remoto de un sistema de información, que incorporan determinadas familias o muestras de software dañino (malware).
C&C: Del inglés command and control, se refiere a paneles de mando y control (también referenciados como C2), por el cual atacantes cibernéticos controlan determinados equipos zombie infectados con muestras de la misma familia de software dañino. El panel de comando y control actúa como punto de referencia, control y gestión de los equipos infectados.
Conexión sospechosa: Todo intercambio de información a nivel de red local o pública, cuyo origen o destino no esté plenamente identificado, así como la legitimidad de los mismos.

Esta información fue tomada de la Guía nacional de notificación y gestión de ciberincidentes.

Te muestro como determinar el nivel de impacto de un incidente de ciberseguridad y donde obtener mas información

En algunas ocasiones es difícil el clasificar el nivel del impacto de un incidente de ciberseguridad, en este post vamos a ver como podemos clasificarlo de acuerdo con el tipo de incidente.

Para la clasificación se utilizan cinco niveles: crítico, muy alto, alto, medio y bajo.

Los siguientes datos fueron adaptados para el uso en una organización privada, solo son una muestra de los datos para que tengas un punto de partida y puedas seguir más fácilmente.

Criterios para determinar el nivel de impacto de un incidente de ciberseguridad.

Crítico

Afecta a una Infraestructura Crítica.
Afecta a sistemas clasificados SECRETO.
Afecta a más del 90% de los sistemas de la organización.
Interrupción en la prestación del servicio superior a 24 horas y superior al 50% de los usuarios.
Daños reputacionales muy elevados y cobertura continua en medios de comunicación internacionales.

Muy alto

Afecta a un servicio esencial.
Afecta a sistemas clasificados RESERVADO.
Afecta a más del 75% de los sistemas de la organización.
Interrupción en la prestación del servicio superior a 8 horas y superior al 35% de los usuarios.
Daños reputacionales a la imagen de la organización.
Daños reputacionales elevados y cobertura continua en medios de comunicación nacionales.

Alto

Afecta a más del 50% de los sistemas de la organización.
Interrupción en la prestación del servicio superior a 1 hora y superior al 10% de usuarios.
Daños reputacionales de difícil reparación, con eco mediático (amplia cobertura en los medios de comunicación) y afectando a la reputación de terceros.

Medio

Afecta a más del 20% de los sistemas de la organización.
Interrupción en la presentación del servicio superior al 5% de usuarios.
Daños reputacionales apreciables, con eco mediático (amplia cobertura en los medios de comunicación).

Bajo

Afecta a los sistemas de la organización.
Interrupción de la prestación de un servicio.
Daños reputacionales puntuales, sin eco mediático

Sin impacto

No hay ningún impacto apreciable.

Puedes obtener más datos en la siguiente link: Guía de INCIBE

Te muestro como se clasifican los incidentes de seguridad y donde obtener más información

Una de las labores mas difícil es saber como clasificar un incidente de ciberseguridad, en este post te muestro las categorías en las cuales se pueden clasificar de acuerdo con la documentación publicada por el Instituto Nacional de Ciberseguridad INCIBE en el sitio web taxonomía de un incidente.

La siguiente clasificación muestra la categoría, subcategoría y una descripción de cada una de ellas:

Contenido abusivo

SPAM: correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo.
Delito de odio: contenido difamatorio o discriminatorio. Ejemplos: ciberacoso, racismo, amenazas a una persona o dirigidas contra colectivos.
Pornografía infantil, contenido sexual o violento inadecuado: material que represente de manera visual contenido relacionado con pornografía infantil, apología de la violencia, etc.

Contenido dañino

Sistema infectado: sistema infectado con malware. Ejemplo: sistema, computadora o teléfono móvil infectado con un rootkit.
Servidor C&C (Mando y Control): conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
Distribución de malware: recurso usado para distribución de malware. Ejemplo: recurso de una organización empleado para distribuir malware.
Configuración de malware: recurso que aloje ficheros de configuración de malware. Ejemplo: ataque de webinjects para troyano.
Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de Mando y Control (C&C).

Obtención de información

Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas. Ejemplos: peticiones DNS, ICMP, SMTP, escaneo de puertos.
Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
Ingeniería social: recopilación de información personal sin el uso de la tecnología. Ejemplos: mentiras, trucos, sobornos, amenazas.

Intento de intrusión

Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (véase CVE). Ejemplos: desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales. Ejemplos: intentos de ruptura de contraseñas, ataque por fuerza bruta.
Ataque desconocido: ataque empleando exploit desconocido.

Intrusión

Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha adquirido privilegios.
Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin privilegios.
Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de vulnerabilidades de software. Ejemplo: inyección SQL.
Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de equipo.

Disponibilidad

DoS (Denegación de Servicio): ataque de Denegación de Servicio. Ejemplo: envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio.
DDoS (Denegación Distribuida de Servicio): ataque de Denegación Distribuida de Servicio. Ejemplos: inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
Sabotaje: sabotaje físico. Ejemplos: cortes de cableados de equipos o incendios provocados.
Interrupciones: interrupciones por causas externas. Ejemplo: desastre natural.

Compromiso de la información

Acceso no autorizado a información: acceso no autorizado a información. Ejemplos: robo de credenciales de acceso mediante interceptación de tráfico o mediante el acceso a documentos físicos.
Modificación no autorizada de información: modificación no autorizada de información. Ejemplos: modificación por un atacante empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante ransomware.
Pérdida de datos: pérdida de información. Ejemplos: pérdida por fallo de disco duro o robo físico.

Fraude

Uso no autorizado de recursos: uso de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro. Ejemplo: uso de correo electrónico para participar en estafas piramidales.
Derechos de autor: ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor. Ejemplos: Warez.
Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
Phishing: suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas.

Vulnerable

Criptografía débil: servicios accesibles públicamente que pueden presentar criptografía débil. Ejemplo: servidores web susceptibles de ataques POODLE/FREAK.
Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS. Ejemplos: DNS open-resolvers o Servidores NTP con monitorización monlist.
Servicios con acceso potencial no deseado: servicios accesibles públicamente potencialmente no deseados. Ejemplos: Telnet, RDP o VNC.
Revelación de información: acceso público a servicios en los que potencialmente pueda revelarse información sensible. Ejemplos: SNMP o Redis.
Sistema vulnerable: sistema vulnerable. Ejemplos: mala configuración de proxy en cliente (WPAD), versiones desfasadas de sistema.

Otros

Otros: todo aquel incidente que no tenga cabida en ninguna categoría anterior.
APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.
Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista.
Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.

Te muestro las tres principales clases de vulnerabilidades que buscan los ciberdelincuentes en tu organización

Es este post, vamos a revisar las tres principales vulnerabilidades que busca un delincuente informático para hacerse con los datos de tu organización.

Software sin mantenimiento: Nada más apetitoso para un delincuente que encontrarse con un sistema operativo sin mantenimiento con vulnerabilidades técnicas críticas que le permita acceder al sistema. Recuerda que a diario son reportadas entre 7 y 8 vulnerabilidades en toda clase de software. Consejo: identifica las vulnerabilidades de software y dales tratamiento.

Configuraciones débiles: Muchas vulnerabilidades se debe al típico next, next, next cuando se están instalando dispositivos o configurando equipos de seguridad. Debes verificar estas configuraciones para detectar cosas como accesos no autorizados en el firewall o múltiples salidas a Internet en la red LAN.

Usuarios no capacitado: hace poco leí una frase que me causo curiosidad: ¿Qué es más costoso para la organización, capacitar un usuario y que se vaya o no capacitarlo y que se quede?. Ten en cuenta que si decides capacitar, debes tener en cuentas cuatro tipos de usuarios: usuario final, personal técnico, usuarios VIP y usuarios de terceros.

Existen más vulnerabilidades y estas dependen del sector en el cual está tu organización, te recomiendo un análisis de estado para verificar que puedes mejorar en temas de ciberseguridad.

Descubre que son los tipos de pruebas caja negra, blanca y gris cuando hablamos de seguridad informática

Para un mejor entendimiento de las pruebas de seguridad informática que se deben de realizar en la organización, en la industria se dividieron en tres tipos, las pruebas de seguridad que se sugieren se deben de ejecutar al Interior de la organización.

El nombre de cada tipo de pruebas depende de la cantidad de información que se entrega para ejecutar las pruebas. A continuación se describen los tres principales tipos:

Caja negra

El tipo de pruebas caja negra simula el ataque de un perpetrador con sus propios recursos. Cuando las pruebas de tipo caja negra se hacen desde Internet, solo se dispone de información pública. También existen las pruebas internas de tipo caja negra, esto se hace simulando un empleado recién contratado con solamente una conexión a la red interna.

Caja blanca

Para esta clase de pruebas, el consultor tendrá acceso a toda la información disponible. El objetivo es endurecer los controles ya existentes y revisar la posibilidad de probar posibles nuevos ataques. Para el ejemplo de un aplicativo, se evalúan las posibles vulnerabilidades existentes desde el código fuente, pasando por el aplicativo en producción hasta la infraestructura donde está alojado el aplicativo, también debes comprobar el esquema de backups para buscar posibles puntos de quiebre.

Caja gris

Este es el tipo de pruebas más utilizadas, donde la información que se entrega es parcial, tal información pueden ser: direcciones IP, dominios de Internet, nombres de equipos entre otra. Aquí se busca evaluar la seguridad de los equipos sin ofrecer mayor información.

Los tres tipos de pruebas tienen sus ventajas y desventajas, la elección de que clase de pruebas se deben realizar depende de cada organización y de la criticidad de los activos.

El contenido de cada tipo de pruebas depende de cada organización e igualmente de los activos que se quieren evaluar, son como un traje a la medida que se debe ajustar a las necesidades y objetivos de cada organización.

Te cuento el porque es necesario mínimo un análisis mensual para detectar vulnerabilidades en tus activos

En este post revisaremos el porque es recomendado realizar frecuentes análisis de vulnerabilidades para proteger nuestros activos de información.

Diariamente son reportadas entre siete y ocho vulnerabilidades con severidad crítica, las cuales pueden llegar a afectar a la organización, la frecuencia con la que se realicen los escaneos pueden prevenir la materialización de riesgos relacionados con su información.

Cuando se realiza un análisis de vulnerabilidades, se verifica la existencia de estas dentro de los equipos que analizamos ya sea hardware, software o firmware. Debes tener en cuenta que solo se verifica la existencia de vulnerabilidades conocidas, por el momento no es posible identificar vulnerabilidades desconocidas. Permíteme darte un ejemplo:

Si realizaste un escaneo a todos los equipos en noviembre 15 de 2021, lo mas probable es que no hayas detectado la vulnerabilidad log4shell, la cual fue reportada en diciembre 9 de 2021. Ahora, si realizas un escaneo de forma mensual, el siguiente ciclo debió de ejecutarse en diciembre 15 de 2021, aquí si debió de desertarse la nueva vulnerabilidad.

La organización solo estuvo seis días expuesta a la nueva vulnerabilidad, lo cual si llevas indicadores como MTTD, te marcará seis puntos de exposición, un número bueno ya que lo sugerido es que este por debajo de los 30 puntos.

A la fecha de publicación de este post, varias vulnerabilidades con severidad critica han sido reportadas, tanto en equipos de hardware usados como firewalls como en sistemas de virtualización VMWare.

Recuerda realizar un análisis de vulnerabilidades mínimo una ve al mes, esto es mas económico que tratar con la materialización de una vulnerabilidades que afecte nuestros activos.

Recuerda que la ciberseguridad protege, en la organización, la capacidad de generar ingresos u ofrecer servicios.

Todos quieren robar tu información, conoce las diferencias entre phishig, smishing, vishing y whaling

El phising es una técnica de ataque utilizada por los delincuentes para hacerse con la información de la víctima.

El phishing más conocido es el que emplea el correo electrónico como vector de ataque para engañar a su posible víctima y tentarla a realizar tareas o dar información privada que pueda llegar a poner en riesgo a sí misma o a la organización para la cual trabaja.

Existen variantes del phishing que usan otros canales diferentes al correo electrónico, con el mismo fin, engañar a la víctima. Estas son tres de las variantes más conocidas:

vishing: Es una variación de phishing por medio de llamadas telefónica. Ya sea con el uso de voces computarizadas o voz humana, el atacante intenta obtener información de la víctima simulando perteneces a una entidad bancaria o alguna otra organización.
El smishing es otra variación del phishing, la cual es más común debido a que se hace automáticamente a través de robots para enviar mensajes de texto SMS haciéndose pasar por una entidad para, de igual manera que el phishing, engañar a la víctima y de esta manera poder tener información.
whaling es una variante adicional de phishing y está especialmente dirigido a personal ejecutivo: CEO, CISO, CTO entro otros, sugiriéndoles realizar tareas o enviar información, si no lo hacen la empresa podría colapsar.

Cualquiera de estas variantes busca que la víctima entregue información o ejecute acciones que pueden llegar a poner en riesgo su información o la de un tercero.

La solución más adecuada es la capacitación en la detección de esta clase de ataques.

¿Qué es más costoso para la organización, capacitar a su personal o ser presa de un ataque de phishing?

Estos son los riesgos de tener tecnología obsoleta en operación

En este post te muestro las consecuencias de tener tecnologías en operación por más del tiempo sugerido por el fabricante.

La tecnología está diseñada para tener un tiempo de vida útil, debe tener mantenimiento periódico y en algún momento deberá ser reemplazada para evitar riesgos informáticos que puedan poner en peligro la "capacidad de ofrecer bienes o servicios".

Recordemos que una vulnerabilidad es una debilidad o error en el software o en el hardware, si, como lo estás leyendo, el hardware también tiene vulnerabilidades y un ejemplo de ello son estas dos vulnerabilidades: spectre y meltdown, las cuales afectan a procesadores Intel y AMD.

Hablando solo del hardware, el tiempo de vida útil de un equipo en promedio es de tres años, con extensiones puede llegar a los cinco años, generalmente, los equipos no pasan de los cinco años, por lo que durante este periodo de tiempo se debe programar su reemplazo.

Existen riesgos los cuales se manifiestan dependiendo del tipo de organización, acá únicamente te muestro los cinco más comunes:

Pérdida de datos por falla en dispositivos de almacenamiento sin soporte.
Fuga de información por explotación de vulnerabilidades en equipos sin mantenimiento.
Pérdida de rendimiento por procesamiento en equipos obsoletos.
Pérdida de conectividad por incompatibilidad con nuevas tecnologías.
Imposibilidad de actualizaciones tecnológicas o mantenimiento de seguridad por obsolescencia tecnológica.

Dependiendo de la organización y de la tecnología, se pueden presentar riesgos críticos que pueden llegar a afectar gravemente la operación, por lo que este tema no debe tomarse a la ligera. No siempre esperar a que algo pase para tomar decisiones es la mejor decisión.

Recuerda programar el cambio de los equipos físicos por lo menos una vez cada cinco años, este es el tiempo que demora la depreciación por obsolescencia en los equipos de cómputo, 20% por cada año.

Existen programas en los gobiernos donde donas los equipos obsoletos a instituciones sin ánimo de lucro y puedes recuperar algo de dinero.

Teniendo en cuenta que la tecnología es uno de los principales procesos de los cuales depende la organización, ¿Qué tanto te preocupa mantener estable la capacidad de producir bienes o servicios?

Descubre que hacer cuando se escucha de una vulnerabilidad 0 day que puede afectar la organizacion

Las vulnerabilidades son el pan nuestro de cada día, a diario son reportadas cerca de 7 vulnerabilidades críticas, en promedio cada dos meses se reporta una vulnerabilidad 0 day acerca de la cual nadie tenía conocimiento.

Ahora, te muestro como debes tratar con esta clase de vulnerabilidades en cuatro pasos:

Identificación: Se analiza si la vulnerabilidad está presente en los dispositivos de la organización.
Evaluación: se verifica si la vulnerabilidad ha sido explotada. Si no ha sido explotada, entonces se trata, pero si fue explotada, lo más recomendado es abrir un caso de incidente de seguridad y aplicar todo el protocolo para el tratamiento de estos casos.
Remediación: Se aplican el tratamiento de la vulnerabilidad: parche, reconfiguración, extracción completa, aceptación o mitigación.
Reporte y lecciones aprendidas: Si el sector lo amerita, se debe reportar el caso ante las autoridades competentes, dejar histórico acerca del caso y plantar las lecciones aprendidas a que haya lugar.

Eta es la forma organizada sugerida por los organismos de control para tratar esta clase de vulnerabilidades.

"Si no sé si estoy inseguro, entonces estoy seguro" a esto es lo que llamamos "seguridad por oscuridad" y es una de las prácticas más peligrosas que puede seguir una organización. Recuerde hacer análisis de vulnerabilidades periódicos y análisis fastrack para identificación de vulnerabilidades 0 day.

Te muestro los cinco grupos de usuarios que debes capacitar en temas de ciberseguridad para evitar tener un ciberataque

Ya no es un secreto que la primera línea de defensa para una organización es el usuario, en este post vamos a revisar los temas en los cuales deben ser capacitados los usuarios y los grupos en los cuales se pueden llegar a clasificar.

Estos son los principales temas en los que deben ser capacitados los usuarios: ransomware, phishing, teletrabajo, escritorio limpio, fraudes cibernéticos, ingeniería social, peligros de las redes sociales, políticas de uso de recursos informáticos, políticas de gestión de datos, entre otras. Dependiendo de los objetivos del negocio pueden agregarse temas adicionales.

Estas son los cinco grupos principales en los cuales están divididos los usuarios de una organización:

Usuarios normales: Este es el principal objetivo de los ciberdelincuentes, a diario son enviados miles de correos electrónicos y mensajes fraudulentos a través de redes sociales intentando engañarlos para que den un clic o llenen algún formulario.
Personal de terceros: El personal de terceros o personal en outsourcing debe ser capacitado ya que ellos pueden llegar a tener acceso a nuestra información o a equipos que la gestiona.
Personal visitante: ya sea que la visita dure una hora o una semana, el visitante debe estar enterado de las reglas que tiene la organización. Cada capacitación deberá estar orientada a donde el usuario va a tener acceso, si es solo instalaciones, pues deberá conocer las reglas para visitar las instalaciones y así sucesivamente con cada cosa a la que vaya a tener acceso el visitante.
Personal técnico: Nada más costoso para la organización el tener personal no capacitado, los errores se pueden llegar a pagar caros por el desconocimiento en la administración de equipos y servicios de tecnología.
Alta directiva: Especial cuidado con este grupo, ya que son los que asignan los recursos y dan el ejemplo al interior. Las capacitaciones deben ser especialmente diseñadas y los argumentos bien sustentados.

Debes diseñar un plan de capacitación diferente para cada grupo, aunque el fin es el mismo, en algunas ocasiones el vocabulario o mensaje a ser presentado debe ser direccionado de forma diferente para cada grupo, esto facilitará su comprensión.

Frase del post:

¿Qué es más costoso: capacitar al personal y que se vaya o no capacitarlo y que se quede?

Conoce como opera el terrible ransomware y que opciones tienes para resolverlo

En esta entrada vamos a revisar como opera el ransomware y las opciones que tenemos para tratar este terrible flagelo.

Empecemos por definir lo que es el ransomware:

Ransomware, es una técnica de ataque dañina que encripta o cifra los archivos de un computador pidiendo un rescate en moneda digital, preferiblemente bitcoins, a cambio de liberar los archivos secuestrados.

El ransomware es uno de los ataques más utilizados en la actualidad, cerca del 80% de los ciberataques usan ransomware como vector de ataque. El 23% de las víctimas de esta técnica termina pagando el rescate para recuperar sus datos.

A continuación describiré cada una de las fases que componen esta clase de ataques:

1. Infección: El usuario recibe un correo electrónico con un enlace o un archivo adjunto, el cual es activado cuando se da clic en el enlace o se abre el archivo. El ransomware se ejecuta y estableciendo persistencia en el equipo infectado.

2. Comando y Control: El ransomware se conecta aún servidor externo propiedad del atacante para entregar información sobre el equipo al cual está infectando y descargar una clave para cifrar la información.

3. Cifrado o encriptado: El ransomware utiliza la clave para cifrar el medio de almacenamiento principal, ya sea un disco duro, una SSD o una llave USB, adicionalmente, cifra todos los dispositivos de almacenamiento a los cuales tenga acceso.

4. Extorsión: El ciberdelincuente deja un mensaje de contacto para que la víctima se comunique antes de cierto tiempo y pague la extorsión o perderá todos los archivos que han sido cifrados. Ten en cuenta que estas extorsiones no son baratas.

En este punto quedan tres caminos:

5a. Pago: Para recuperar la información se debe realizar el pago, que generalmente es realizado en bitcoins o alguna otra moneda digital. Esto no garantiza que la información va a ser recuperada.

5b. Recuperación de backup: Puede recuperar la información a partir de una copia de respaldo, evitando el pago de la extorsión.

5c. Asumir la pérdida: Si la información cifrada no es importante, se puede recuperar la operación reinstalando los sistemas operativos afectados.

Lamentablemente, la mayoría del ransomware no tiene vacuna y es casi imposible la recuperación de la información. Los ciberdelincuentes son difíciles de rastrear, al igual que las operaciones en criptomonedas.

La mejor manera de prevenir esta clase de ataques es la seguridad preventiva mediante la capacitación al usuario final y el uso de software anti-ransomware.

Conoce el misterio de la superficie de ataque y lo que debes de hacer para protegerla

Hace algún tiempo se viene acuñando un nuevo término: "superficie de ataque", en este artículo vamos a revisar cuál es su definición, que la compone y que podemos hacer para reducir su nivel de exposición.

Empecemos por definir el término:

Superficie de ataque: todo dispositivo o servicio físico, virtual o digital conectado a la red de la organización que puede llegar a ser comprometido por un atacante para afectar la confidencialidad, integridad o disponibilidad de la información.

En el siguiente listado podrás encontrar los principales componentes de la superficie de ataque, dependiendo de cada organización podrá tener más o menos componentes:

Estaciones de trabajo y equipos portátiles (desktop/laptop)
Servidores físicos y virtuales
Equipos de red y perisféricos
Infraestructura en la nube
Aplicaciones y código desarrollado
Dispositivos de almacenamiento
Servicios propios y de terceros
empleados directos e indirectos
Equipos IoT

Podemos decir que cualquier dispositivo o servicio dentro de la red es un posible blanco para un atacante, por ende se debes de supervisar frecuentemente su nivel de exposición mediante la gestión de vulnerabilidades.

Estas son las tres tareas básicas que deberás desarrollar para reducir el nivel de exposición o por lo menos mantenerlo controlado:

Identificar la superficie de ataque: haz un inventario completo de todo equipo, dispositivo, software, aplicación y servicio dentro de la red de la organización. No olvides la nube.
Evaluar nivel de exposición: deberás ejecutar un análisis de vulnerabilidades para verificar el nivel de exposición de cada objeto dentro de la superficie de ataque.
Tratar las vulnerabilidades detectadas: Cuando tengas identificadas las vulnerabilidades, deberás tratarlas de acuerdo con la criticidad del activo y con la criticidad de la vulnerabilidad hallada.

Si quieres llegar al siguiente nivel, lo más acertado es que implementes un plan de gestión de vulnerabilidades en la organización, esto te permitirá evaluar y atender organizadamente las vulnerabilidades en los activos críticos.

Recomendación:

Identifique y reduzca el nivel de exposición de la superficie de ataque mediante la implantación de un plan de gestión de vulnerabilidades en TODOS los equipos, software y servicios de la organización.

Aquí les dejo un link acerca de como un casino fue atacado por un hacker, donde se supone que los casinos tienen los mejores controles anti hackers debido a que mueven millones de dólares:

Los verdaderos peligros de suministrarle un equipo al empleado o dejar que el empleado use su propio equipo para conectarse a la red de la organización

En este post vamos a revisar los principales peligros con los cuales se ve relacionada la seguridad de los datos de la organización cuando un usuario se conecta de forma remota con equipo propio o con equipo de la empresa y como se pueden tratar estos riesgos.

Empecemos por comentar que una de las principales diferencias entre teletrabajo y trabajo remoto es que en el primero, es muy posible que el equipo del empleado sea suministrado por la organización, esto le da control completo a la organización sobre el hardware y el software donde sea almacena los datos. (Debe tener una política de uso de recursos informáticos suministrados por la organización).

Cuando la organización tiene el control de los equipos, locales y remotos, le es posible implementar software de protección contra virus, troyanos, malware, ransomware, phishing, páginas peligrosas, entre otras cosas. Esto se logra con un buen software de antivirus comercial moderno, adicionalmente, puede implementar políticas de backup automatizado de información con almacenamiento fuera del equipo.

Ahora, cuando el usuario está en trabajo remoto y tiene su propio equipo para conectarse a la red de la organización, se presenta un riesgo crítico debido a que no se tiene el control del equipo conectado, por lo tanto, el acceso a los datos de la organización deberá ser más controlado y restringido.

Acceso no autorizado a información por posibles equipos infectados, fuga de información por copias no autorizadas, acceso no autorizado a información por parte de miembros de la familia o amigos del usuario, pérdida de información por almacenamiento local sin réplica en equipos de la organización, estos son solo algunos de los riesgos en los cuales se ve envuelta la organización cuando no se controla el acceso de los equipos no controlados.

Dependiendo del nivel de criticidad de la información que maneje el usuario, debe contemplar la posibilidad de suministrar equipos propios de la organización donde tenga el control completo del hardware y el software que maneja información crítica.

Valoré que es más costoso, suministrar equipo o exponerse a una posible pérdida de información por un equipo suministrado por el usuario, adicional, la organización puede verse infectada por alguna clase de virus informático.

Como siempre, este tema es muy particular a cada organización y depende de los niveles de acceso, tipos de usuarios, nivel de confianza, protección de datos y otras variables que deberán de ser evaluadas de acuerdo al nivel de riesgo que la organización desee asumir.

Descubre los peligros de permitir el uso del correo corporativo para beneficio personal

El uso de cuentas de correo corporativas para beneficio personal es una práctica que ha venido creciendo con el tiempo y sobre lo cual, la organización deberá ponerle la lupa para evitar posibles riesgos en lo cuales se vea inmersa.

Las cuentas de correo corporativas se usan para representar a la organización desde la cual sale el correo electrónico. Por ejemplo, se recibe un email de alguien que pregunta por precios de servicios y el correo del remitente es sistemas@ministerio.gov.co, el destinatario asumirá que el correo viene desde esa entidad, por lo que posiblemente le dará un trato como si viniera de una entidad gubernamental.

Se ha presentado el caso de que algunos empleados envían solicitudes desde sus cuentas corporativas para presionar a una organización para obtener algún beneficio que no tendría si el email hubiese salido desde un correo personal.

Otro ejemplo de esto se da cuando se solicitan servicios que son de pago excepto para entidades educativas, alguien que tiene un correo educativo solicita el servicio gratuito para uso personal o peor aún, para uso corporativo, esto se constituye en un fraude.

Se pueden llegar a citar un gran número de casos en donde el empleo de correos corporativos para beneficio personal le puede dar ventaja competitiva al empleado, ventajas que no hubiese tenido si el email hubiese salido desde un correo personal.

Los riesgos de permitir que los empleados usen las cuentas corporativas para resolver sus asuntos personales son altos debido a que cada email que sale de un correo corporativo es tomado como una actuación de la organización.

Para cerrar el tema, que piensas de este caso ficticio: trabajas para la empresa nutrigamba.com y tu compañero de trabajo es Carlos Rodriguez. Un día ingresas en el sitio web del periódico local y lees la noticia acerca de un gran número de estafas en el sitio de compras www.micarrito.com. Los correos de los presuntos estafadores son publicados en Internet y justo ahí, en el tercer reglón, aparece la dirección de correo "crodriguez@nutrigamba.com".

Es por ello que el uso de correos corporativos para uso personal deberá estar prohibido. Cada email que sale de una cuenta corporativa es una comunicación empresarial, por ello, el empleado deberá ser responsable de la comunicación que se tenga por intermedio de su correo electrónico.

Para mejor entendimiento del tema, te recomiendo la siguiente lectura:

Acceso al correo electrónico corporativo del empleado por parte del empleador

Cuatro puntos a tener en cuenta cuando desarrollas un plan de gestión de vulnerabilidades

Cada día en promedio se descubren aproximadamente ocho vulnerabilidades críticas, detectarlas y tratarlas a tiempo, te garantizará un nivel de riesgo bajo y una protección adecuada de la información de tu organización.

Incluye estos cuatro puntos en tu plan de gestión de vulnerabilidades para mejorar los indicadores de gestión:

Visibilidad: incluya dentro de la gestión de vulnerabilidades todos los activos de software y hardware, teniendo en cuanta los sistemas operativos, componentes de infraestructura, aplicaciones y servicios.
Planificación: Debe existir un responsable de aplicar las remediaciones en cada uno de los activos que se detecten vulnerables.
Priorización: Determine qué tan critico es cada activo para el negocio y de acuerdo con la criticidad de la vulnerabilidad, priorice las remediaciones.
Verificación: Una vez aplicada la remediación se debe verificar que la vulnerabilidad haya sido cerrada.

Tenga en cuenta estas recomendaciones cuando desarrolle el plan de gestión de vulnerabilidades y ejecútelas de forma periódica, recuerde, lo recomendado es que cada ciclo sea mensual, pero si tiene infraestructura crítica, reduzca este tiempo lo más corto posible.

Con esto logrará reducir su superficie de ataque y tendrá un monitoreo continuo de vulnerabilidades.

Conoce como saber que servicios debes publicar en Internet y mantener segura la organización

El siguiente artículo solo se centra en la publicación de servicios como por ejemplo un sitio web, una base de datos, un servicio de acceso remoto y otros por el estilo, para servicios más complejos te recomiendo asesorarte de un consultor especializado.

Se publica en Internet, información que se desea poner de conocimiento público, como por ejemplo, un sitio web, si tienes dudas acerca de que si un servicio deba ser publicado, entonces te recomiendo el siguiente grupo de preguntas:

Primera pregunta: ¿Es necesario tener acceso al servicio desde fuera de la organización?

Si la respuesta es "no" entonces no publique el servicio en Internet, si la respuesta es "si" entonces viene la siguiente pregunta:

Segunda pregunta: ¿Es necesario que todo el mundo tenga acceso al servicio?

Si la respuesta es "no" entonces debes preparar el acceso de quien deba tenerlo, mediante un servicio seguro como un acceso VPN. Si la respuesta es "si" entonces deberás evaluar que tan crítico es el servicio que deseas publicar.

Para proteger un servicio crítico publicado en Internet tienes varias opciones para protegerlo, como por ejemplo, en la medida de lo necesario trata de implementar un doble factor de autenticación, implementa un servicio WAF para evitar ataques,

Anteriormente, era bastante costoso proteger un servicio publicado, actualmente los servicios de protección de sitios WEB como WAF son económicos y son fácilmente configurables tanto si tienes tus servicios On Premise (en sitio) como si los tienes en la On Cloud (en la nube).

Sea cual fuere la opción que elegiste, recuerda que la conexión a servicios internos de la organización, "siempre" debe hacerse por medio de una conexión VPN, esta opción está disponible en la mayoría de las marcas de firewall, solo es cuestión de activarla y configurarla.

Una conexión VPN es una forma segura de conectarte a los servicios de tu organización, por ello, si los servicios no son para consumo del público, lo más recomendado es no publicarlos y conectarse vía VPN a ellos.

No actives servicios sobre Internet que no sean necesarios, hacer esto, es invitar a los delincuentes a intentar vulnerarlos y posiblemente poner en riesgo toda la organización.