Te cuento el porque es necesario mínimo un análisis mensual para detectar vulnerabilidades en tus activos

En este post revisaremos el porque es recomendado realizar frecuentes análisis de vulnerabilidades para proteger nuestros activos de información.

Diariamente son reportadas entre siete y ocho vulnerabilidades con severidad crítica, las cuales pueden llegar a afectar a la organización, la frecuencia con la que se realicen los escaneos pueden prevenir la materialización de riesgos relacionados con su información.

Cuando se realiza un análisis de vulnerabilidades, se verifica la existencia de estas dentro de los equipos que analizamos ya sea hardware, software o firmware. Debes tener en cuenta que solo se verifica la existencia de vulnerabilidades conocidas, por el momento no es posible identificar vulnerabilidades desconocidas. Permíteme darte un ejemplo:

Si realizaste un escaneo a todos los equipos en noviembre 15 de 2021, lo mas probable es que no hayas detectado la vulnerabilidad log4shell, la cual fue reportada en diciembre 9 de 2021. Ahora, si realizas un escaneo de forma mensual, el siguiente ciclo debió de ejecutarse en diciembre 15 de 2021, aquí si debió de desertarse la nueva vulnerabilidad.

La organización solo estuvo seis días expuesta a la nueva vulnerabilidad, lo cual si llevas indicadores como MTTD, te marcará seis puntos de exposición, un número bueno ya que lo sugerido es que este por debajo de los 30 puntos.  

A la fecha de publicación de este post, varias vulnerabilidades con severidad critica han sido reportadas, tanto en equipos de hardware usados como firewalls como en sistemas de virtualización VMWare.

Recuerda realizar un análisis de vulnerabilidades mínimo una ve al mes, esto es mas económico que tratar con la materialización de una vulnerabilidades que afecte nuestros activos.

Recuerda que la  ciberseguridad protege, en la organización, la capacidad de generar ingresos u ofrecer servicios.


Todos quieren robar tu información, conoce las diferencias entre phishig, smishing, vishing y whaling

El phising es una técnica de ataque utilizada por los delincuentes para hacerse con la información de la víctima.

El phishing más conocido es el que emplea el correo electrónico como vector de ataque para engañar a su posible víctima y tentarla a realizar tareas o dar información privada que pueda llegar a poner en riesgo a sí misma o a la organización para la cual trabaja. 

Existen variantes del phishing que usan otros canales diferentes al correo electrónico, con el mismo fin, engañar a la víctima. Estas son tres de las variantes más conocidas:

  • vishing: Es una variación de phishing por medio de llamadas telefónica. Ya sea con el uso de voces computarizadas o voz humana, el atacante intenta obtener información de la víctima simulando perteneces a una entidad bancaria o alguna otra organización. 
  • El smishing es otra variación del phishing, la cual es más común debido a que se hace automáticamente a través de robots para enviar mensajes de texto SMS haciéndose pasar por una entidad para, de igual manera que el phishing, engañar a la víctima y de esta manera poder tener información.
  • whaling es una variante adicional de phishing y está especialmente dirigido a personal ejecutivo: CEO, CISO, CTO entro otros, sugiriéndoles realizar tareas o enviar información, si no lo hacen la empresa podría colapsar. 

Cualquiera de estas variantes busca que la víctima entregue información  o ejecute acciones que pueden llegar a poner en riesgo su información o la de un tercero.

La solución más adecuada es la capacitación en la detección de esta clase de ataques. 

¿Qué es más costoso para la organización, capacitar a su personal o ser presa de un ataque de phishing?



Estos son los riesgos de tener tecnología obsoleta en operación

En este post te muestro las consecuencias de tener tecnologías en operación por más del tiempo sugerido por el fabricante. 

La tecnología está diseñada para tener un tiempo de vida útil, debe tener mantenimiento periódico y en algún momento deberá ser reemplazada para evitar riesgos informáticos que puedan poner en peligro la "capacidad de ofrecer bienes o servicios".

Recordemos que una vulnerabilidad es una debilidad o error en el software o en el hardware, si, como lo estás leyendo, el hardware también tiene vulnerabilidades y un ejemplo de ello son estas dos vulnerabilidades: spectre y meltdown, las cuales afectan a procesadores Intel y AMD.

Hablando solo del hardware, el tiempo de vida útil de un equipo en promedio es de tres años, con extensiones puede llegar a los cinco años, generalmente, los equipos no pasan de los cinco años, por lo que durante este periodo de tiempo se debe programar su reemplazo.

Existen riesgos los cuales se manifiestan dependiendo del tipo de organización, acá únicamente te muestro los cinco más comunes: 

  1. Pérdida de datos por falla en dispositivos de  almacenamiento sin soporte. 
  2. Fuga de información por explotación de vulnerabilidades en equipos sin mantenimiento.
  3. Pérdida de rendimiento por procesamiento en equipos obsoletos.
  4. Pérdida de conectividad por incompatibilidad con nuevas tecnologías.
  5. Imposibilidad de actualizaciones tecnológicas o mantenimiento de seguridad por obsolescencia tecnológica.
Dependiendo de la organización y de la tecnología, se pueden presentar riesgos críticos que pueden llegar a afectar gravemente la operación, por lo que este tema no debe tomarse a la ligera. No siempre esperar a que algo pase para tomar decisiones es la mejor decisión. 

Recuerda programar el cambio de los equipos físicos por lo menos una vez cada cinco años, este es el tiempo que demora la depreciación por obsolescencia en los equipos de cómputo, 20% por cada año.

Existen programas en los gobiernos donde donas los equipos obsoletos a instituciones sin ánimo de lucro y puedes recuperar algo de dinero. 

Teniendo en cuenta que la tecnología es uno de los principales procesos de los cuales depende la organización, ¿Qué tanto te preocupa mantener estable la capacidad de producir bienes o servicios?


Descubre que hacer cuando se escucha de una vulnerabilidad 0 day que puede afectar la organizacion

 Las vulnerabilidades son el pan nuestro de cada día, a diario son reportadas cerca de 7 vulnerabilidades críticas, en promedio cada dos meses se reporta una vulnerabilidad 0 day acerca de la cual nadie tenía conocimiento.

Ahora, te muestro como debes tratar con esta clase de vulnerabilidades en cuatro pasos:

  • Identificación: Se analiza si la vulnerabilidad está presente en los dispositivos de la organización.
  • Evaluación: se verifica si la vulnerabilidad ha sido explotada. Si no ha sido explotada, entonces se trata, pero si fue explotada, lo más recomendado es abrir un caso de incidente de seguridad y aplicar todo el protocolo para el tratamiento de estos casos.
  • Remediación: Se aplican el tratamiento de la vulnerabilidad: parche, reconfiguración, extracción completa, aceptación o mitigación. 
  • Reporte y lecciones aprendidas: Si el sector lo amerita, se debe reportar el caso ante las autoridades competentes, dejar histórico acerca del caso y plantar las lecciones aprendidas a que haya lugar.  

Eta es la forma organizada sugerida por los organismos de control para tratar esta clase de vulnerabilidades. 

"Si no sé si estoy inseguro, entonces estoy seguro" a esto es lo que llamamos "seguridad por oscuridad" y es una de las prácticas más peligrosas que puede seguir una organización. Recuerde hacer análisis de vulnerabilidades periódicos y análisis fastrack para identificación de vulnerabilidades 0 day.

Te muestro los cinco grupos de usuarios que debes capacitar en temas de ciberseguridad para evitar tener un ciberataque

Ya no es un secreto que la primera línea de defensa para una organización es el usuario, en este post vamos a revisar los temas en los cuales deben ser capacitados los usuarios y los grupos en los cuales se pueden llegar a clasificar.  

Estos son los principales temas en los que deben ser capacitados los usuarios: ransomware, phishing, teletrabajo, escritorio limpio, fraudes cibernéticos, ingeniería social, peligros de las redes sociales, políticas de uso de recursos informáticos, políticas de gestión de datos, entre otras. Dependiendo de los objetivos del negocio pueden agregarse temas adicionales.  

Estas son los cinco grupos principales en los cuales están divididos los usuarios de una organización: 

  • Usuarios normales: Este es el principal objetivo de los ciberdelincuentes, a diario son enviados miles de correos electrónicos y mensajes fraudulentos a través de redes sociales intentando engañarlos para que den un clic o llenen algún formulario. 
  • Personal de terceros: El personal de terceros o personal en outsourcing debe ser capacitado ya que ellos pueden llegar a tener acceso a nuestra información o a equipos que la gestiona. 
  • Personal visitante: ya sea que la visita dure una hora o una semana, el visitante debe estar enterado de las reglas que tiene la organización. Cada capacitación deberá estar orientada a donde el usuario va a tener acceso, si es solo instalaciones, pues deberá conocer las reglas para visitar las instalaciones y así sucesivamente con cada cosa a la que vaya a tener acceso el visitante.
  • Personal técnico: Nada más costoso para la organización el tener personal no capacitado, los errores se pueden llegar a pagar caros por el desconocimiento en la administración de equipos y servicios de tecnología. 
  • Alta directiva: Especial cuidado con este grupo, ya que son los que asignan los recursos y dan el ejemplo al interior. Las capacitaciones deben ser especialmente diseñadas y los argumentos bien sustentados.

Debes diseñar un plan de capacitación diferente para cada grupo, aunque el fin es el mismo, en algunas ocasiones el vocabulario o mensaje a ser presentado debe ser direccionado de forma diferente para cada grupo, esto facilitará su comprensión.

Frase del post:

¿Qué es más costoso: capacitar al personal y que se vaya o no capacitarlo y que se quede?