Empresa fuerte con ciberseguridad: diciembre 2022

No dejes que los ciberdelincuentes arruinen tu Navidad: consejos de ciberseguridad

Con el aumento de las compras online y el uso de dispositivos móviles durante las fiestas de fin de año, es necesario tomar medidas de ciberseguridad para protegerse de los ataques de los ciberdelincuentes. Estos son algunos consejos para mantenerse seguro durante esta temporada:

Use contraseñas seguras: asegúrese de usar contraseñas seguras y únicas para cada una de sus cuentas en línea. Evite usar información personal o palabras comunes como contraseña y cámbielas regularmente.
No haga clic en enlaces sospechosos: los ciberdelincuentes a menudo envían enlaces maliciosos en correos electrónicos o mensajes de texto para obtener acceso a su información personal. No haga clic en enlaces sospechosos y verifique la dirección de correo electrónico antes de enviar información personal.
Utilice una red privada virtual (VPN): una VPN proporciona una conexión a Internet segura y protege su información personal cifrando su tráfico de Internet. Esto puede ser especialmente útil cuando se conecta a redes públicas de Internet en lugares como aeropuertos o cafeterías.
Mantenga sus dispositivos actualizados: asegúrese de mantener sus dispositivos, incluidas computadoras, teléfonos móviles y tabletas, al día con las últimas actualizaciones de software y parches de seguridad. Esto puede ayudar a proteger contra exploits y ataques de malware, phishing o ransomware.
Usar encriptación de datos: la encriptación de datos puede ayudar a proteger su información personal haciéndola ilegible sin una clave de desencriptación. Recuerde usar cifrado de datos en su computadora y dispositivos móviles.

Al seguir estos consejos de ciberseguridad para las fiestas de fin de año, puede disfrutar de sus celebraciones de temporada sin preocupaciones y protegiendo su información personal.

Tres consejos para mejorar la ciberseguridad cuando publicas servicios de tecnología "necesarios"

Internet nos permite conectarnos rápidamente a servicios de tecnología tales como escritorio remoto, bases de datos, entre otros, los cuales requerimos para hacer nuestras labores cotidianas, lamentablemente, el abuso de la publicación de estos servicios en Internet causa que expongamos cosas a ataques de delincuentes que buscan dinero fácil.

Antes de publicar un servicio, entre los más comunes, bases de datos, acceso remoto, pregúntese: ¿El servicio es para todo público?

Tenga en cuenta que todos los firewalls modernos tienen la posibilidad de tener conexión VPN a la red interna, inclusive si ya no está pagando el mantenimiento del equipo.

En Internet, existen muchos bots automatizados que barren constantemente las direcciones IP en búsqueda de equipos conectados para lanzar ataques automatizados, por lo que con solo poner su dirección IP pública en un equipo, este ya posiblemente puede estar siendo escaneado en búsqueda de vulnerabilidades.

Estos son tres consejos para tener en cuenta antes de publicar un servicio en Internet:

Solo publique en Internet los servicios que sean para acceso público.
Todo acceso a configuraciones de equipos de tecnología debe hacerse a través de una VPN.
Antes de publicar un servicio, ejecútele un análisis de vulnerabilidades interno para verificar que es seguro el servicio que publica y que este no va a comprometer la seguridad de la organización.

Un consejo adicional, si puede activar doble factor de autenticación en los servicios que desea publicar, hágalo, no está de más poner un escalón adicional de ciberseguridad.

En desarrollo de software, esto es lo que debes saber de pruebas tipo SAST y DAST

A menudo, los desarrolladores de software discuten acerca de que tipos de pruebas ejecutar y cuando ejecutarlas, y es que existen varias clases de pruebas dentro de las cuales, dos de las mas comunes son: DAST y SAST.

SAST: Static application security testing. Pruebas de seguridad de aplicaciones estáticas.
DAST: Dynamic application security testing. Pruebas de seguridad de aplicaciones dinámicas.

Las pruebas SAST son pruebas que buscan vulnerabilidades en el código desarrollado y estan inmersas desde el inicio del desarrollo del codigo funte de las aplicaciones.

Por otro lado, las pruebas tipo DAST, evaluan las vulnerabilidades en el aplicativo en operación.

Las dos clases de pruebas son necesarias y cubren aspectos diferentes de la seguridad. A continuación un cuadro comparativo de lo que se puede detectar en cada una de las clases de pruebas:

SAST	DAST
Se trata de una prueba de caja blanca en la que se tiene acceso al código fuente, al marco de la aplicación, al diseño y a la implementación.	Se trata de una prueba de caja negra en la que no se tiene acceso al marco interno que compone la aplicación, el código fuente y el diseño.
La aplicación completa se prueba de dentro a fuera. Este tipo de prueba se conoce a menudo como el enfoque del desarrollador.	La prueba de la aplicación se realiza desde fuera hacia dentro. Este tipo de prueba se conoce a menudo como el enfoque hacker.
No se requiere instalar la aplicación, solo se requiere eacceso al código fuente.	Se requiere desplegar la aplicacion y no necesita tener acceso al código fuente.
Suele analizar directamente el código fuente sin ejecutar ninguna aplicación.	Es sólo una herramienta que necesita ser ejecutada para escanear la aplicación.
Es una herramienta que se utiliza para encontrar vulnerabilidades de forma templana durante el ciclo de vida del desarrollo del software.	Sólo se utiliza después de correr el código y escanea la aplicación completa en busca de vulnerabilidades.
Se implementa inmediatamente después de escribir el código. Señala la vulnerabilidad en el entorno de desarrollo integrado.
Decubre vulnerabilidades tempranamente durante la fase de desarrollo lo que facilita la remediación antes de que el código se ponga en operación.	La solución de una vulnerabilidad puede ser costosa debido a que suelen descubrirse hacia el final cilco de vida del desarrollo del software y puede llegar amodificar todo el proyecto.
	La corrección no suele hacerse en tiempo real, salvo en casos de emergencia.
Esta herramienta sólo escanea código estático, lo que dificulta el descubrimiento de vulnerabilidades en tiempo de ejecución.	Esta herramienta escanea una aplicación utilizando análisis dinámicos para encontrar vulnerabilidades en tiempo de ejecución.

Conoce el decálogo del usuario remoto para un acceso seguro a la organización

Conectar un usuario a la red interna de la organización es una tarea que requiere de especial cuidado, ya que se trata de dar un acceso de forma segura a un usuario que lo requiere, por ello, si no se realiza de manera adecuada, se puede llegar a poner en riesgo a toda la organización.

En esta entrada te mostraré los 10 puntos más importantes que debes tener en cuenta cuando planeas otorgar el acceso a un usuario para que consuma recursos internos de la organización ya sea que estén en la nube o se encuentren en las instalaciones de la empresa.

Decálogo del usuario remoto

Usar VPN para conectarse a la organización.
"Siempre" que el usuario necesite hacer uso de recursos internos de la organización, este se debe conectar primero a una VPN. El compartir recursos sobre Internet para dar acceso solo a uno o varios usuarios es una mala práctica que pone en riesgo a la organización.
Utilizar un navegador seguro.
El uso de navegadores desactualizados, obsoletos o de baja reputación también ponen en riesgo la información de la empresa. Muchos de esta clase de navegadores no cifran la información de manera adecuada o tienen bugs que permiten escalar privilegios para realizar un ataque más elaborado.
Restringir el acceso de los empleados.
Recuerde que solo se deben asignar los mínimos privilegios al usuario final. Si no requiere un acceso, no lo otorgue, solo asigne los permisos y accesos estrictamente necesarios.
Usar un password manager.
Hace poco cambié de móvil y realmente es abrumador la cantidad de credenciales que se deben memorizar, por lo que recomiendo altamente el uso de un software para gestión de credenciales de acceso. Uno de los más utilizados es keepass.
Habilitar el múltiple factor de autenticación.
Póngale el camino más difícil a los perpetradores, habilite el doble factor de autenticación que está disponible en la mayoría de fabricantes como Microsoft y Google entre otros.
Usar software antimalware.
Nada más peligroso que ser atacado por ransomware, te cifra la información y pide dinero a cambio de regresarte el acceso. Use un software antimalware, la mayoría de los antivirus modernos tienen este módulo, si no lo tiene, debes cambiar de fabricante.
Entrenar al usuario final.
Que es más costoso ¿entrenar un usuario y que se vaya? o no entrenarlo y que se quede. El usuario final es la primera línea de defensa de la organización contra los ataques de los perpetradores, entre más capacitados estén, más fuerte va a estar esta línea de protección.
Mantener el software actualizado.
Una gran cantidad de troyanos, malware, virus y otros bichos, hacen presa de los dispositivos con aplicaciones o sistemas operativos desactualizados, por ello, te recomiendo mantener el software actualizado constantemente.
Cambiar las contraseñas regularmente.
Las contraseñas son como la ropa interior, no se presta y se cambia regularmente.
Usar solo el software autorizado.
La instalación de software no autorizado por parte del usuario final puede poner en riesgo la seguridad de la organización, por ello, restrinja el uso de los "usuarios administradores" para el uso exclusivo del equipo de soporte técnico de la empresa.

Aplica estos 10 consejos y te aseguro que va a tener una organización más segura.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario