imagen
imagen
imagen
imagen

2

imagen


    egún el idioma chino, la palabra 'crisis' tiene dos vocablos, uno identifica el peligro y otro la oportunidad. En julio de 2018, yo afrontaba la crisis profesional de dejar la compañía en la que había estado trabajando durante 30 años. Entonces mi hermano menor, Javi, me propuso iniciar un programa de radio dedicado a la Ciberseguridad. Fruto de aquella crisis, surgió la oportunidad del programa de radio que he venido dirigiendo desde entonces, y que a fecha de hoy alcanza una audiencia de más de 34.000 oyentes semanales.
Desde marzo de 2020, una pandemia nos ha encerrado, dejándonos en medio de una crisis de dimensiones bíblicas. De nuevo, es mi hermano quien me anima y me sugiere la puesta en marcha de la revista que hoy sale a la luz. Espero que esta nueva oportunidad que cronológicamente surge de la pandemia tenga una buena acogida en el sector.
La revista ClickCiber y su hermano radiofónico son medios realizados por profesionales de la Ciberseguridad a los que nos apasiona nuestra profesión, tan llena de constantes y emergentes desafíos que nos proponen desde el otro lado nuestros enemigos.
ClickCiber nace con la vocación de acompañar al sector y ofrecerle los contenidos que todo el equipo espera ver en una revista hecha desde las entrañas del mismo sector.
En el barco de ClickCiber me acompañan hackers, CISOs y vendors, sin olvidarnos de la Administración y del mundo universitario. Subid rápido que zarpamos... Carlos Lillo.

Carlos Lillo

S

6   |

imagen

2

imagen

La pandemia por coronavirus ha provocado que todas las organizaciones del planeta que no contaran con una estrategia de transformación digital se hayan tenido que reinventar para seguir ofreciendo sus servicios

Por: Carlos Guarín

Transformación digital express

Para Empresas

2

imagen

      n el último trimestre del año pasado, cuando las empresas elaboraron sus planes de inversión para este 2020, posiblemente pocas destinaron una partida a la investigación y solo unas cuantas a la implementación de la tan mencionada transformación digital. En solo un par de semanas, las organizaciones del planeta entero se vieron en la necesidad de dar ese gran salto a la fuerza o paralizarse. Hasta los más escépticos del teletrabajo, la educación virtual, las reuniones en línea, las compras por Internet, la consulta médica remota e incluso las misas por teleconferencia han tenido que subirse a este nuevo tren que marcha a toda velocidad.

Hasta principios de año, 1 de cada 5 españoles trabajaba desde casa como independiente o en teletrabajo, un 75% de las empresas permitían el acceso remoto pero sólo el 30% de sus empleados tenían autorizado este servicio. Como es de esperar, estas empresas y departamentos de Tecnologías de Información y Comunicación ya llevaban la delantera al respecto.

Los usuarios han demostrado que son productivos a distancia. Del mismo modo, las empresas han descubierto que pueden ahorrar mucho dinero en instalaciones físicas, suministro de energía y hasta en equipos de cómputo. Un ejemplo extremo de esto es cómo están funcionando ahora los centros de contacto. En este sentido, las redes sociales se han convertido en un importante canal de comunicación con los clientes. La pregunta es ¿quién será el encargado de 'quitarle la golosina al niño'?

E

9   |

2

imagen

Creo que nadie pensará en hacerlo, sin embargo, es un gran reto para las áreas de informática ya que esta nueva etapa puede ser una gran oportunidad para avanzar o para evidenciar sus grandes carencias. La seguridad de la información va mucho más allá del firewall o el antivirus, abarca la integridad de los datos, la disponibilidad de los servicios, la prevención de fuga de información y los planes de contingencia, que ahora son incluso más importantes que antes, debido a la dispersión de los usuarios y el acceso desde equipos no corporativos. Dependiendo de la naturaleza y el presupuesto, las organizaciones han dispuesto desde el uso de VPN o escritorios virtuales para acceder a las aplicaciones hasta la extensión telefónica, abriendo una oportunidad de oro para migrar aplicaciones, estaciones de trabajo o servidores a la nube.

Este es el momento de implementar de manera permanente las soluciones que se han puesto en marcha en medio de la emergencia, evaluando el resultado de la experiencia propia, de los colegas y empresas del sector. No sabemos cuánto tiempo y cuántas veces tendremos que convertir nuevamente nuestra casa en nuestro despacho, sala de reuniones o punto de venta, así que lo mejor es ir pidiendo por Internet una silla más cómoda para trabajar porque esto ha llegado para quedarse.

10  |

2

imagen

Sin seguridad no hay negocio, pero sin negocio no hay nada

La seguridad debe entenderse como una herramienta para minimizar el riesgo y facilitar el negocio y ese es el verdadero reto del CISO

Para Empresas

11  |

2

Durante muchos años he expuesto, razonado, discutido e incluso 'peleado' en los comités de dirección las medidas de seguridad que las empresas deben implantar, argumentado la financiación para el departamento de Seguridad de la Información. En general, resulta difícil hacer comprender a los órganos de dirección de las empresas que tienen que invertir en seguridad porque, no nos engañemos, sin un presupuesto definido y concreto para esta área, difícilmente se puede hacer gran cosa.

Los años han pasado y la Seguridad de la Información se torna cada vez más crítica para las empresas. Los integrantes de consejos, comités de dirección y demás órganos de gobierno son cada vez más conscientes de estos peligros de manera similar a como lo eran ya de los riesgos financieros u operacionales, aunque queda un buen trecho de concienciación todavía por delante en muchos sectores. No obstante, a pesar de este aumento de madurez y conocimiento global de la seguridad, el CISO o Director de Seguridad debe ser consciente también de cuál es su función dentro de la empresa. En realidad, es algo muy simple, pero muy retador: minimizar el riesgo y facilitar el negocio. Este es un punto crítico porque establece un límite bien claro para el CISO: potenciar el impacto de las medidas de seguridad en beneficio de la empresa.

En otro momento hablaremos de la gestión del riesgo y el apetito del riesgo de las organizaciones y cómo abordarlo, así como de los modelos de gobierno de la seguridad. Se trata de un aspecto complejo y amplio que encaja con la gobernanza general de los riesgos de las empresas. En este sentido, debemos tener claro que si las medidas de seguridad impactan en el negocio -y por mi experiencia, la mayoría lo hacen- habrá que llegar a un consenso con la dirección de la empresa de un modo u otro, porque debemos tener presente siempre que sin seguridad no hay negocio, pero sin negocio no hay nada.

 Objetivo: buscar el equilibrio entre la seguridad y el negocio

Buscar ese equilibrio entre las medidas de seguridad y la generación de negocio y mantenimiento de los ingresos es y será el gran reto del CISO hoy en día y siempre. No nos confundamos, todo lo demás, a pesar de ser necesario también, es pura 'música'. De nada sirve un programa de análisis y gestión de vulnerabilidades que impide sistemáticamente publicar nuevos servicios en un tiempo razonable para el negocio o un sistema de autenticación que por su complejidad no permite acceder a los sistemas de manera ágil a los usuarios o impacta en las operaciones.

imagen

2

Para tratar este tema, me gusta usar la metáfora del juego de la cuerda en el que dos grupos de personas tiran de una cuerda y el objetivo es sobrepasar un punto central. Pues bien, podemos visualizar a un lado el negocio y al otro la seguridad. En nuestro caso, la cuerda debe mantenerse en un punto de equilibrio de fuerzas constante que no permita sobrepasar ese punto central, ya que si esto pasa, quiere decir que se ha perdido el consenso en algún punto crítico y que sólo decide el negocio, obviando las medidas de seguridad, o viceversa. Si esto sucede, a diferencia del juego, los dos pierden, nadie gana porque finalmente habrá un impacto en la organización de un tipo u otro, ya sea financiero, reputacional, de cumplimiento, en el time to market, etcétera.

La implicación del CISO y del área de Seguridad en las direcciones de las empresas, entendiendo y comprendiendo el negocio y haciéndose parte de este es la única forma de evitar que la cuerda se rompa. Esto es lo esencial, primero creemos ese espacio de colaboración y entendimiento y después vendrán los marcos de gestión, aspectos técnicos y demás elementos.  Mantener, por tanto, ese punto de equilibrio es el gran reto al que se enfrentan hoy día las organizaciones en cuanto a la integración de la seguridad en sus procesos de negocio.  

La metáfora del juego de la cuerda 

13  |

imagen
imagen

2

Ciberseguros, ¿por
qué son importantes
para las empresas?

La transformación empresarial hacia el teletrabajo está acelerando el proceso de adopción de seguros dedicados a la protección en el ámbito de la ciberseguridad

El sector de los seguros es posiblemente uno de los más parecidos al de la ciberseguridad sobre todo por su complejidad y porque se centra en la protección de las personas y de sus enseres más queridos. En cifras, se trata de uno de los sectores con más crecimiento, cuenta con más de 200.000 puestos de trabajo directos y 500.000 indirectos que solventan casi 150.000 incidencias diarias, factura 65.000 millones de euros, lo que supone el 5,3% del PIB. Asimismo, está presente en la mayoría de los hogares, en concreto, el 97% tiene contratado un seguro de cualquier tipo.

A pesar de estos datos, los seguros en el ámbito de la ciberseguridad se empezaron a comercializar hace tan solo cinco años. Y aunque existían algunas coberturas como el borrado de huella digital en el seguro de decesos, no fue hasta el verano de 2015 cuando apareció la primera aseguradora que proponía un seguro específico para pymes y microempresas. Como es obvio, los ciberseguros ya estaban activos para grandes empresas, pero éste fue, sin duda, el pistoletazo de salida para el ciberseguro.

Durante estos años, alrededor de una quincena de compañías aseguradoras han decidido incluir este seguro en su portfolio, lo que representa menos de un 10% del este sector. Pero, ¿por qué las aseguradoras no apuestan por estos ciberseguros? Principalmente porque aún queda mucho por madurar en el sector. El seguro se basa en el porcentaje de incidentes por asegurado para generar un precio y aún no existe una demanda importante por parte del cliente, ni un historial en el que basarse para calcular esta prima.

Para Empresas

imagen
imagen

2

Posiblemente, la transformación empresarial al teletrabajo, inducido por el confinamiento derivado de la pandemia del COVID-19, acelerará este proceso. Para muchas empresas, el riesgo ahora sí es inminente ya que la deslocalización de sus puestos de trabajo ha elevado el riesgo y las posibilidades de ser atacadas.

Aun así, la concienciación del empresario o autónomo sobre la amenaza es de momento relativa y en el sector ocurre lo mismo. A pesar de la 'evangelización' constante por parte de las aseguradoras que lo comercializan, los colegios de mediadores de seguros o las asociaciones de mediadores y empresas, aproximadamente sólo uno de cada tres corredores o agentes tiene un ciberseguro contratado y no más de la mitad de las empresas están interesadas.

¿Qué es un ciberseguro y qué cobertura tiene?
Un ciberseguro es cuando la parte aseguradora asume el riesgo de que una empresa pueda ser atacada por ciberdelincuentes. A día de hoy existen dos tipos de ciberseguros: los reactivos y los mixtos.

Por un lado, el seguro reactivo es el propio principio del seguro. Por su definición, un seguro es un contrato, denominado póliza de seguro, por el que una Compañía de Seguros (el asegurador) asume el daño producido al asegurado, ya sea a través de un capital, una renta o la prestación de un servicio". ¿Qué significa esto? Que si tienes alguna red o dispositivo susceptible de ser atacado, lo puedes asegurar para que en el caso de que ocurriera, la aseguradora pudiera total o parcialmente solucionarte el problema.

¿Qué cubre un ciberseguro? Como norma general -existen diferentes matices, dependiendo de la aseguradora- cubre principalmente la 'gestión de crisis' que engloba el daño, la pérdida o el robo de datos, los daños a dispositivos, la denegación de servicio, interrupción del negocio, los gastos en peritaje, la eliminación del malware, el desbloqueo del ransomware o la certificación forense. También en algunos casos está cubierta la protección o robo de identidad, recuperación de imagen, restauración de cuentas hackeadas, el daño reputacional o el borrado de información pública.

También en este seguro puede incluirse la defensa y reclamación de daños a terceros, las reclamaciones judiciales y pérdidas, el asesoramiento judicial, los gastos de defensa, la notificación a los afectados e incluso las sanciones administrativas.

15  |

2

imagen

Una vez dicho esto, ¿qué es entonces el seguro mixto? A lo expuesto anteriormente se le añade alguna medida preventiva más como el análisis de vulnerabilidades, software de seguridad, la monitorización, las copias de seguridad en la nube o la adecuación al Reglamento General de Protección de Datos (RGPD).

Ciberseguros: la tendencia de los próximos años

Y por supuesto, la demanda provocará un aumento del número de compañías que decidan comercializarlo. Probablemente, en los próximos años veremos cómo los ciberseguros forman parte del portfolio de más de un centenar de aseguradoras. Esto significa un campo muy amplio para profesionales que puedan aportar conocimiento y experiencia. Estoy convencido de que los ciberseguros se convertirán en el seguro por excelencia de esta década.

 Por Alfonso Linares

El futuro de los ciberseguros no puede ser más esperanzador. Se prevé que estará presente en el 95% de los ramos de seguro. Por ejemplo, en el automóvil (seguro de auto) que cada vez es más autónomo y digital; en la domótica (seguro del hogar) que se está adoptando a una velocidad imparable; o en las nuevas incorporaciones a la sanidad como las consultas online con especialistas o las pulseras inteligentes de actividad, que muy pronto marcarán el coste de nuestro seguro de salud.

16  |

imagen

2

Por: Rafael García de la Rasilla

imagen

Para Empresas

2

imagen

En un entorno de redes de comunicaciones tan cambiante, como son ahora multicloud, multidispositivo, multifabricante y multisede, la mayoría de las organizaciones están llevando a cabo las tareas de monitorización y supervisión de forma tradicional. Nos estamos refiriendo a monitorización mediante alarmas, en las que cada especialista monitoriza sus activos.

Además, si hablamos de los profesionales de comunicaciones y ciberseguridad, ocurre como en tantos otros campos que no es lo mismo estar trabajando en la propia oficina, donde ante cualquier eventual problema se puede consultar con el experto de cada tecnología, que hacerlo a distancia, cada uno con sus horarios y con esa falta de visión de lo que está pasando con los diferentes activos de forma más transversal. Es vital que en este nuevo planteamiento se pueda tener una respuesta ágil, dadas las circunstancias y la criticidad de las redes.

Algunas organizaciones, sin embargo, han adoptado soluciones de analítica transversales, es decir, soluciones capaces de recoger datos y métricas de todos los activos de red, para poder disponer de cuadros de mando personalizados, adaptados a las necesidades de la organización, así como alarmas inteligentes y detección de anomalías, entre otros. Estos datos no son únicamente las métricas de estado de salud que aporta SNMP, sino todo el registro de actividad disponible gracias a Syslog, API, WMI, Netflow y un largo etcétera de formatos.

19  |

2

La analítica avanzada transversal dota a las organizaciones de un mejor entendimiento y proactividad de sus redes. Así, ante la nueva situación de teletrabajo, están mejor preparadas para una gestión eficaz y proactiva de la ciberseguridad y de las comunicaciones. No obstante, esta adopción masiva de entornos de teletrabajo añade nuevos interrogantes que, de nuevo, recaen en el tejado de los departamentos de IT. Hasta ahora, todos los datos del ecosistema IT estaban dedicados a la gestión del mismo. Sin embargo, por parte de diferentes departamentos empiezan a surgir preguntas cuyas respuestas se encuentran en esos mismos registros. Organizaciones de recursos humanos quieren saber, por ejemplo, si tras la implementación de sistemas de videollamadas se ha reducido el número de emails. Diferentes administraciones necesitan hacer seguimiento de las horas conectadas de los empleados a las VPNs (muchos firewalls apenas guardan esta información durante unas horas), y un largo etcétera de KPIs que son realmente importantes para las organizaciones. A día de hoy, es difícil predecir si volveremos a la normalidad en lo referente al uso de espacios físicos para trabajar, pero todo hace indicar que muchas empresas adoptarán el teletrabajo con mayor penetración y todos los datos y métricas que necesitan están, precisamente, en los equipos de seguridad y de comunicaciones.

imagen

La analítica avanzada transversal dota a las organizaciones de un mejor entendimiento y proactividad de sus redes. Así, ante la nueva situación de teletrabajo, están mejor preparadas para una gestión eficaz y proactiva de la ciberseguridad y de las comunicaciones.

No obstante, esta adopción masiva de entornos de teletrabajo añade nuevos interrogantes que, de nuevo, recaen en el tejado de los departamentos de IT. Hasta ahora, todos los datos del ecosistema IT estaban dedicados a la gestión del mismo. Sin embargo, por parte de diferentes departamentos empiezan a surgir preguntas cuyas respuestas se encuentran en esos mismos registros.

Organizaciones de recursos humanos quieren saber, por ejemplo, si tras la implementación de sistemas de videollamadas se ha reducido el número de emails. Diferentes administraciones necesitan hacer seguimiento de las horas conectadas de los empleados a las VPNs (muchos firewalls apenas guardan esta información durante unas horas), y un largo etcétera de KPIs que son realmente importantes para las organizaciones.

A día de hoy, es difícil predecir si volveremos a la normalidad en lo referente al uso de espacios físicos para trabajar, pero todo hace indicar que muchas empresas adoptarán el teletrabajo con mayor penetración y todos los datos y métricas que necesitan están, precisamente, en los equipos de seguridad y de comunicaciones.

imagen

20  |

Con el fin de que los empleados puedan acudir con la mayor tranquilidad a su centro de trabajo, a la vez que se evita el contagio de la enfermedad, muchas empresas están optando por realizar controles de temperatura pero, ¿esto podría vulnerar el derecho a la intimidad? ¡Te lo contamos!

Por Elisabet Iglesias

imagen

Con el fin de que los empleados puedan acudir con la mayor tranquilidad a su centro de trabajo, a la vez que se evita el contagio de la enfermedad, muchas empresas están optando por realizar controles de temperatura pero, ¿esto podría vulnerar el derecho a la intimidad? ¡Te lo contamos!

Por: Elisabet Iglesias

Para Empresas

imagen

La vuelta al trabajo de forma presencial es ya inminente en muchos casos, y aunque se produzca de forma escalonada, pone de manifiesto la necesidad vital de establecer medidas de seguridad que garanticen a los trabajadores una vuelta segura. El objetivo es que los empleados puedan acudir con la mayor tranquilidad posible a su centro de trabajo y evitar así la diseminación de la enfermedad.  

Según el artículo 14 de la Ley de Prevención de Riesgos Laborales de 1995, los trabajadores tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo, lo que supondría la existencia del deber del empresario a la protección de los trabajadores. En base a dicha necesidad, las empresas, preocupadas por cumplir con esta garantía, están estableciendo sistemas de toma de temperatura como una de las medidas clave, que permitirá llevar a cabo dicho control.  

Esta medida de seguridad se aplicaría de forma que pudiera impedir el acceso a algunos espacios a aquellas personas que superen una determinada temperatura, ya que podría ser síntoma de tener el COVID-19. Sin embargo, pensemos también que aunque el trabajador presente una temperatura superior a la establecida podría no tener el virus y que, además, hay un gran número de personas que no presentan ningún tipo de síntoma al respecto, por lo que podríamos estar negando el acceso a personas que no tienen el virus y permitiéndoselo a otras que sí -aunque no manifiesten síntomas-.  

La Agencia Española de Protección de Datos (AEPD) ya se ha pronunciado al respecto. En concreto, el pasado 30 de abril de 2020, la AEPD emitió un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, donde dejaba claramente de manifiesto, que estaríamos frente al tratamiento de 'datos personales sensibles', ya que afecta a datos relativos a la salud de las personas, que se deberán tratar cumpliendo en todo momento con la normativa de protección de datos vigente.  

Según la AEPD: "La temperatura debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas".  Además, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el 'principio de legalidad'.   En un entorno laboral, la posible base jurídica se encontraría en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio.

22  |

Esa obligación sería la excepción que permitiría el tratamiento de datos de salud, legitimando así este tratamiento. A su vez, se deberá tener en cuenta el 'principio de exactitud y el de limitación de la finalidad', por el cual los datos de temperatura solo podrán ser obtenidos con la finalidad de detección de posibles personas contagiadas, evitando el acceso a un determinado lugar. Por último, se deberán establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados.

¿Prevalece la salud pública sobre los derechos individuales?

El pasado 12 de mayo, aparecía la noticia de que las asociaciones de jueces coincidían al afirmar que la salud pública prevalece sobre los derechos individuales. Eso significa que si las organizaciones deciden llevar a cabo dicho control de temperatura de sus trabajadores a la entrada del trabajo, no vulneraría el derecho de las personas a su intimidad, puesto que la finalidad es prevenir nuevos contagios.  

En este sentido, el portavoz de la Asociación Judicial ha indicado que no ve problema en ese control de temperatura y recuerda, además, que existe la obligación de prevenir riesgos laborales, según las declaraciones realizadas a Europa Press. Por lo tanto, en los centros de trabajo estaríamos hablando de que existen dos derechos fundamentales: el derecho a la privacidad y el derecho a la salud y, cuando esto ocurre, uno de ellos puede ser limitado por el otro en el caso de que hubiese contraposición entre ambos. De este modo, el derecho a la salud pública prevalecería sobre la privacidad, por lo que se podría controlar la temperatura a los trabajadores, siendo prioritaria en este caso la salud.  

Sin embargo, las organizaciones pueden cumplir si se lo proponen con ambos derechos, sin ningún problema, siempre y cuando sigan, como uno de los pilares fundamentales, las indicaciones de los comunicados que ya han salido e irán saliendo a medida que sea necesario por parte de la AEPD, así como tengan en cuenta el cumplimiento de la ley vigente en materia de protección de datos personales y el RGPD.  

Por último y como reflexión personal al respecto de este tipo de tratamiento de datos, pongamos todos de nuestra parte al acudir a nuestros centros de trabajo, la finalidad perseguida, evitar la propagación del virus y salvar vidas, bien lo merece.

imagen
imagen

23  |

imagen

2

imagen

Las soluciones de ciberseguridad cloud se han convertido en las herramientas más rentables para proteger y dar respuesta a ciberincidentes, por eso muchos proveedores se han lanzado a ofrecer sus soluciones en este entorno. 

Cloud Y Movilidad

25  |

imagen

Recientemente, me han preguntado mi opinión sobre las diversas soluciones que existen de ciberseguridad en la nube y, especialmente, sobre los famosos SIEMs (Security Information and Event Management, por sus siglas en inglés) que utilizan una infraestructura cloud para dar servicio.

He de decir que estas tecnologías me entusiasman, ya que rápidamente se adaptan al mercado cambiante de la ciberseguridad, proporcionando nuevas técnicas e integrando tecnologías que permiten afrontar, con todas las garantías, el nuevo paradigma que estamos viviendo. Hay que tener en cuenta que no sólo las compañías, sino todas las aplicaciones, usuarios e incluso los datos están continuamente evolucionando. Para poder enfrentarnos al ritmo acelerado de los ciberatacantes y sus propias evoluciones, las soluciones cloud se han convertido en una de las herramientas más rentables a la hora de la defensa y respuesta a ciberincidentes.

Estas herramientas de ciberseguridad cloud han cambiado radicalmente el mercado, no sólo por los nuevos métodos de licenciamiento que presentan, sino por la reducción del número de expertos necesarios para operarlos. Las encuestas del año pasado muestran que, de media, se suele disponer de unos cuatro miembros de un SOC (Security Operation Center, por sus siglas en inglés, también conocidos como Blue Teams o, simplemente, Departamento de Seguridad). Esto representa un coste bastante elevado para operar cualquier función y, especialmente, aquellas a las que no se les saca el máximo rendimiento.  

Obviamente, estos expertos dedicados a la operación de herramientas de ciberseguridad no van a desaparecer por completo, pero sí que se reduce de manera significativa el esfuerzo dedicado. Esto significa que, aunque los roles se mantengan, sus dedicaciones serán de más valor, impulsando una mayor visibilidad y reduciendo las causas de las interrupciones por cuestiones de ciberseguridad.

En el caso de los cloud SIEMs, hay que destacar que, aunque provienen del mundo tradicional con sus capacidades locales, se han ido añadiendo diversos enfoques suplementarios, tales como los UBA y UEBA (User [and Entity] Behavior Analytics), NTA (Network Traffic Analytics), o los más modernos SOAR y TIP (Security Orchestration Automation and Response y Threat Intelligence Platform). Esto implica que han tenido que tomar decisiones básicas en su modelo de arquitectura, migrando a sistemas cloud para poder utilizar al máximo la capacidad de computación requerida.  

En los últimos años, estamos viendo una explosión de proveedores que están tratando de moverse a entornos cloud para competir en funciones y costes, y aquí es donde se puede hacer una distinción clara. Por ejemplo, los principios de diseño son muy diferentes cuando se tiene un entorno local que uno cloud. Lamentablemente, los nuevos proveedores están dedicando demasiado tiempo aprendiendo cómo adaptarse a esta nueva escal, cambiando sus metodologías fundamentales de cómo entregar y vender el nuevo producto, lo que les está ralentizando de manera visible.

El valor de los cloud SIEMs

Pero es que, además, aquellos que se lanzaron a desarrollar productos directamente en cloud tienen unos competidores contra los que difícilmente pueden ganar. Las soluciones impulsadas por Amazon, Microsoft o Google -por citar a los grandes- pueden tener una rentabilidad interna que los proveedores de soluciones de terceros no pueden negociar. Incluso si estos competidores tuvieran una 'baza ganadora' en el mercado, los proveedores cloud aún tendrían beneficios, ya que las nubes son suyas y, por lo tanto, pueden invertir más para superar a la competencia. Esta situación podría provocar que, al contar con su propia plataforma en la nube, pueden ofrecer nuevas características más rápido y con un mayor conocimiento de los beneficios de su arquitectura actual y futura, que aquellos proveedores que no disponen de nubes propias.  

Obviamente, se puede argumentar que, al ser compañías no especializadas en productos de ciberseguridad, no pueden competir. Sin embargo, por mi experiencia, me atrevo a afirmar que saben cómo crear sus productos en todos los ámbitos y pueden atraer talento desde cualquier lugar.

imagen

Razones para adoptar soluciones cloud

La verdadera razón para apostar por soluciones cloud es la capacidad de lanzar nuevas funciones o incluso corregir errores cientos de veces al día en toda su base de clientes. En mi opinión, esta situación impulsa los cloud SIEMs a convertirse en la referencia en cuanto a herramientas de ciberseguridad que puedan mantener el ritmo constante de complejidad que vemos día a día incrementarse. Y es el mercado, amigo. El viejo enfoque de actualización mensual que nos ha mantenido a flote en los últimos 20 años, ciertamente no puede ayudarnos en el futuro.

27  |

Bueno,
bonito

e inteligente...

Núm XX. Agosto 2014 

Y hay que ser honestos. Esta transición hacia herramientas cloud llevará años, y siempre habrá soluciones locales muy sólidas para aquellas compañías que no quieran (o no puedan) hacerlo. 

Pero es que, además, creo que todavía hay espacio para soluciones multicloud, que pueden operar con la misma eficacia en distintos proveedores: AWS, IBM, Azure y GCS, entre otros. Aunque diría que todavía faltan años para que esto sea una realidad.  

Por supuesto, hay razones más que suficientes para competir directamente con estos proveedores, el mercado es amplio y hay espacio para el éxito de las compañías enfocadas en entregar información de valor a los analistas de seguridad. Simplemente, ahora la barra está más alta, porque ya no es suficiente con decirlo, también es fundamental mostrarlo.

imagen

La transición hacia herramientas cloud llevará años, y siempre habrá soluciones locales muy sólidas para aquellas compañías que no quieran o puedan hacerlo. 

Por Daniel Gozález

imagen

Cloud Y Movilidad

El móvil se ha convertido en un complemento imprescindible en nuestro día a día. Y es que, ¡no podemos vivir sin él! Por ello, es importante tenerlo en cuenta en materia de ciberseguridad, tanto para protegerlo como para utilizarlo como herramienta de protección. En concreto, hablamos del concepto de ciberseguridad basado en el teléfono móvil, bajo el criterio de entorno de 'Confianza Cero' o 'Zero Trust'. El objetivo principal es el uso de los dispositivos móviles para la identificación y acceso seguro a todas las aplicaciones de las empresas. Así, las organizaciones pueden eliminar el dúo usuario-contraseña, ofreciendo una experiencia de autenticación segura y sencilla, además de evitar que los empleados tengan que recordar y escribir códigos y contraseñas. Y no sólo eso, al eliminar las contraseñas, el inicio de sesión cero también permitirá prevenir una de las principales causas de robos de datos empresariales. 

El inicio de sesión cero (o ZSO por sus siglas en inglés) se introdujo a finales de 2017 para dispositivos protegidos y gestionados por UEM (Unified Endpoint Management), consiguiéndose mejoras en seguridad y productividad del acceso a servicios SaaS como Office 365, Salesforce, SAP, G Suite y Box. Otra característica que ofrece este inicio de sesión cero es el control de acceso a esos SaaS. En junio de 2019, esas capacidades se ampliaron también a dispositivos no gestionados. Veamos a continuación ambos escenarios.

Inicio de sesión cero desde dispositivos administrados, propiedad de la empresa y BYOD

imagen

30  |

1.El usuario inicia sesión en un servicio cloud desde un dispositivo gestionado por el UEM. En el momento del registro, el dispositivo cuenta con un certificado de identidad y configuraciones de aplicaciones gestionadas. Por un lado, las aplicaciones gestionadas son las apps instaladas a través del UEM y administradas por el departamento de TI. Por otra parte, las aplicaciones no gestionadas son aquellas instaladas por el usuario desde Apple Store o Google Play y no están bajo el control de este departamento de IT. No es admisible que las aplicaciones no gestionadas o personales se conecten con servicios o datos de las organizaciones. 

2. El servicio en la nube redirige el dispositivo al módulo de identificación del UEM para la autenticación. Esto requiere la configuración del UEM como un proveedor de identidad (IdP) para servicios en la nube administrados aunque también se puede configurar como un IdP delegado para trabajar junto con un IdP existente. 

3. El UEM verifica el usuario, el dispositivo, la aplicación, las amenazas y otras señales antes de enviar un token basado en estándares (SAML o WS-Fed) al servicio de la nube. Se establece la confianza del usuario en función del certificado de identidad provisto en su dispositivo. La confianza del dispositivo y de las aplicaciones se establece en función de las señales del agente UEM y las configuraciones de aplicaciones gestionadas. Si una aplicación no gestionada intenta conectarse, el UEM puede detectar esto e indicar al usuario que descargue la aplicación correcta de la tienda de aplicaciones corporativas. Si el UEM tuviera el antimalware móvil integrado (MTD),  se garantizaría que los dispositivos con código malicioso, no pudieran acceder a los datos de la empresa.

4. Todo listo: el usuario tiene ahora acceso inmediato a datos de la empresa en un dispositivo, una aplicación y una red confiables, sin necesidad de introducir ni usuario, ni contraseña.

Inicio de sesión cero desde dispositivos no gestionados

imagen

1. El usuario intenta iniciar sesión en un servicio en la nube desde un dispositivo no gestionado.

2. El servicio en la nube le redirige al UEM. Se detecta el dispositivo no gestionado y se envía un código QR con una ID de sesión única.

3. El usuario se autentica en la aplicación UEM en su dispositivo gestionado (o en su 


dispositivo personal con entorno empresarial activado), utilizando datos biométricos y luego escanea el código QR. La información del código QR escaneado se envía al UEM.

4. El UEM valida al usuario y otros parámetros del dispositivo antes de habilitar la sesión en el escritorio o dispositivo específico, todo sin requerir que se ingrese un nombre de usuario o contraseña en el dispositivo no administrado.


Con ZSO se elimina una de las mayores brechas de seguridad de las empresas: el robo de las contraseñas.  ¿Por qué no acceder a las aplicaciones corporativas con la huella digital?

Estos pasos reducen significativamente el riesgo de fuga de datos corporativos ya que los ciberdelincuentes no pueden usar credenciales robadas para acceder a información corporativa.   En definitiva, ZSO mejora la experiencia de autenticación sin usuario, además de eliminar una de las mayores brechas de seguridad de las empresas: el robo de las contraseñas. En concreto, ZSO es una solución alternativa a los actuales sistemas de SSO y MFA. A fin de cuentas, si los usuarios acceden a su banco a través de la huella digital, ¿por qué no hacerlo también con las aplicaciones corporativas?

imagen

32  |

Cloud Y Movilidad

imagen
imagen

La epidemia del COVID-19 que nos asola ha forzado a muchas empresas a adoptar el teletrabajo en tiempo récord. De hecho, los primeros días de confinamiento, ¿quién no ha estado configurando VPNs? Efectivamente, en un primer momento, la máxima prioridad fue proporcionar conectividad a los usuarios, para que, desde sus casas, pudieran acceder a los servicios corporativos y también poder proteger, por ejemplo, su navegación web utilizando los proxys corporativos.

Pero, parémonos a pensar un instante. Realmente, ¿dónde se encuentran dichas aplicaciones corporativas?, ¿en nuestros propios data centers on-premise o en el cloud? Por ejemplo, en mi caso, en mi compañía, utilizamos como solución de correo 0365, nuestro CRM es Salesforce, usamos como herramienta de recursos humanos Workday, somos también usuarios de Microsoft OneDrive, y como solución de colaboración, usamos tanto Microsoft Teams como Zoom.

Por tanto, en este escenario, ¿de verdad tiene sentido configurar VPNs contra nuestros servicios centrales, para desde ahí, volver a sacar el tráfico hacia Internet, aplicaciones SaaS, IaaS o PaaS? ¿No tendría mucho más sentido poder conectar y securizar los accesos de los usuarios, directamente, desde su casa o desde donde se encuentren, hacia Internet?

Efectivamente, el perímetro como lo hemos conocido hasta no hace demasiado tiempo, se ha diluido. El nuevo perímetro debe ser ahora mismo el propio usuario. Ahora más que nunca, debido a la pandemia que estamos padeciendo, tenemos usuarios trabajando desde sus casas, pero los datos también han 'volado' al cloud. En definitiva, tenemos datos y usuarios, por todas partes, y, por tanto, tenemos que redefinir nuestras estrategias de seguridad.

34  |

Quizás, en este punto, alguno de nuestros lectores esté pensando: "esto del SASE es un invento de Gartner y, hoy por hoy, es pura ciencia ficción".

Pero sinceramente, desde mi punto de vista, el modelo SASE ha venido para quedarse y, por tanto, a corto plazo, sí creo que, en nuestras estrategias de seguridad de red, hay que tener en cuenta ciertas cosas, como empezar a proteger desde ya el cloud, desde el cloud.

Por ejemplo, en lugar de adoptar modelos de navegación con proxys on-premise centralizados, optemos por proxys híbridos. 


Protegiendo el cloud, desde el cloud

Es hora de proteger el cloud, desde el cloud. Y aquí, es donde surge un nuevo concepto, bautizado por Gartner como SASE (Secure Access Service Edge). SASE es la convergencia de la conectividad WAN (SD-WAN) para usuarios, grupos de usuarios (oficinas remotas) o incluso dispositivos IoT y servicios de seguridad de red como NGFW, CASB o Zero Trust, dentro de un único modelo de servicio cloud.

En este sentido, el principal objetivo de SASE es, en función de la identidad del usuario e independientemente de su conectividad ya sea ADSL o 5G, provisionar desde el cloud en tiempo real políticas de seguridad de red. El concepto 'as-a-service' se aplica a soluciones de seguridad, tales como NGFW, prevención de amenazas avanzada, Proxy o DLP. De este modo, se podrán monitorizar continuamente las conexiones de los usuarios, e incluso aplicar, de manera dinámica, diferentes políticas de seguridad.

Además, SASE tiene otras ventajas, como no tener que empezar a desplegar 'cajas', me refiero a appliances HW, en ninguna oficina. De este modo, se reducirán los costes de provisión y también los de operación, porque se dispondrá de una única consola de gestión.

SASE, más presente que futuro

imagen

o cloud, que proporcionen, además, funcionalidades tales como 'Remote Browser Isolation'. Es decir, a nivel de usuario, soluciones que permitan aislar la navegación web del dispositivo y llevar a cabo una detección avanzada de malware o ransomware. De este modo, no necesitaremos configurar VPNs para controlar la navegación web de nuestros usuarios. Podrán acceder directamente a Internet, pero de manera segura.

Protejamos también nuestras aplicaciones SaaS, IaaS o PaaS, con uno de los vocablos de moda, las soluciones CASB. Este tipo de soluciones nos permitirán controlar qué usuarios están accediendo a nuestras aplicaciones cloud, qué tipo de información están compartiendo y con quién están, desde dónde están accediendo, qué tipo de dispositivo están utilizando... y, por supuesto, podremos aplicar distintas políticas de seguridad a todas estas acciones. Por ejemplo, que nadie pueda acceder a nuestro Microsoft OneDrive si no es desde un dispositivo gestionado.

Asimismo, en la protección de oficinas remotas, despleguemos soluciones SD-WAN, pero integrando no solo funcionalidades típicas desde el punto de vista de red -como son QoS, Traffic Shaping o Path Selection-, sino también desde el punto de vista de seguridad como pueden ser NGFWs o NGIPS.

Para el 2024, el 40% de las compañías habrán adoptado un modelo SASE

En este punto, más de uno estará pensando, Proxys Híbridos o Cloud, CASB o soluciones SD-WAN, no es lo mismo que SASE. Y sí, tienen razón, pero desde luego, son estrategias de seguridad, que nos permitirán adoptar de una manera mucho más rápida un modelo SASE a corto plazo. Además, de evitar los cuellos de botella, originados, actualmente, por las VPNs tradicionales.

Según Gartner, en el 2024, habrá un 40% de compañías que haya adoptado una estrategia SASE, por lo que los fabricantes que se posicionen en este nuevo modelo en los próximos 3 años serán los líderes del mercado de la ciberseguridad de 'mañana. ¿Quiénes serán? ¿Alguna apuesta?

Optemos por soluciones que permitan aislar la navegación web del dispositivo y llevar a cabo una detección avanzada de malware o ransomware

imagen

36  |

imagen

Para Todos

imagen

Las fake news, o noticias falsas, se han vuelto palabras recurrentes hoy en día, pero su uso se remonta muchos siglos atrás. Ya en tiempos de Felipe II, en 1564, una noticia falsa informaba que había sido gravemente herido por un arcabuzazo -disparo-  con el objetivo de menoscabar su poder. El tiempo no ha modificado el propósito: dañar a una persona, una entidad o un Estado, según corresponda. Sin duda, los famosos son un gran objetivo y ejemplo de ello son las noticias sobre falsos fichajes deportivos. Del mismo modo, la imagen y la reputación de una empresa pueden verse gravemente perjudicadas por las fake news, como ocurrió con un vídeo falso que mostraba un coche de marca Tesla atropellando a un robot y que derivó en una bajada de las cotizaciones en bolsa de la empresa automovilística.

En el caso de los estados, estos daños también son deliberados y se relacionan especialmente con los procesos electorales, esto ocurrió en Brasil, donde se identificaron múltiples fake news favoreciendo la victoria de Bolsonaro. Aún más grave fue el caso conocido como 'pizzagate', en el que un hombre entró disparando en una pizzería por creer falsos rumores sobre violaciones de niños en ese local. Todo ello pone de manifiesto la gran necesidad de limitar este fenómeno.

Las formas de propagación de fake news son muy diversas, destacándose las 'granjas de trolls' en las que un conjunto de personas o cuentas son reclutadas para crear o difundir noticias falsas. Rusia y China se desmarcan como grandes potencias en la generación de este tipo de noticias, aunque con estrategias muy diversas, según apuntan varios estudios. En Rusia se crea una ingente cantidad de noticias asociadas a temas conflictivos o controvertidos, ya que hay una mayor probabilidad de considerar verdadero un hecho que se haya leído o escuchado múltiples veces y por diferentes medios. En  cambio,    en  China  , parte  de  los   

38  |

empleados gubernamentales trabajan parcialmente en la creación de noticias falsas con el propósito de desviar la atención, a través del humor o del entretenimiento, y así evitar un levantamiento de la población. 

Tanto por la cantidad como por los mecanismos utilizados, la detección de noticias falsas es un campo de constante investigación y desarrollo. Los verificadores de hechos, conocidos por su nombre en inglés fact checkers, son agencias que buscan contenido veraz para descartar e informar de bulos o datos erróneos.

La Red Internacional de Verificadores de Hechos (Fact-Checking Network) fue creada en 2015 por el Instituto Poynter y se encarga del funcionamiento de todas las agencias de verificación. También medios de comunicación como El País o El Mundo, se han suscrito a distintos proyectos como son Leading European Newspaper Alliance o The Trust Project, respectivamente, para aportar un valor añadido a sus noticias y ofrecer confianza a sus lectores. 

imagen

A nivel académico múltiples propuestas estudian las líneas temporales, junto con la cantidad o el tipo de noticias, para tratar de discernir aquellas que son falsas. Igualmente, se están desarrollando herramientas que son capaces de identificar vídeos falsos, denominados 'deep fakes'. Estos vídeos tratan de modificar los gestos de la boca del interlocutor para simular que pronuncia un mensaje concreto. Incluso también se generan 'deep voices', es decir, audios que suplantan la voz de una determinada persona y cuyo efecto puede tener consecuencias muy peligrosas, especialmente por cuestiones de extorsión. 

La identificación de noticias falsas es un proceso complejo y que muchos podrían clasificar de subjetivo, pues la credibilidad de una noticia puede depender de la afinidad que se sienta hacia un determinado tema o entidad. Sin embargo, todo tiene un lado positivo: la existencia de este tipo de noticias nos ayuda a ser críticos, a tener que formar nuestra propia opinión, meditada y razonada, y por ello, a suscitar en nosotros la necesidad de pensar más allá de creer en lo que se nos presenta.

imagen
imagen

La pandemia ha provocado la suspensión de muchos servicios presenciales, por lo que las organizaciones y Administraciones Públicas han tenido que reinventarse para dar continuidad a su trabajo. Una de las soluciones pasa por implantar herramientas de vídeo identificación

ideo identificación:
un paso decisivo en
la transformación
digital

Por: Alberto Angón

Desde que se autorizó en España -el 1 de marzo de 2016-, la identificación por videoconferencia, esta es una solución cada vez más utilizada para facilitar y acelerar trámites contractuales, además de ofrecer una experiencia premium a los usuarios. 

¿Qué es la video identificación? 

La video identificación es un proceso de legitimación y verificación de identidad mediante el que se garantiza que una persona es quien dice ser a través de un vídeo. Sin duda, el uso de este tipo de mecanismos puede tener, como valor añadido, un efecto disuasor sobre un ciberdelincuente, ya que el vídeo recogerá el movimiento, los rasgos e incluso el entorno.

imagen

Para Todos

40  |

"La crisis del COVID-19
y el confinamiento
derivado del
Estado de Alarma
han acelerado esta
transformación
digital"

Entorno y validez

Los primeros en utilizar esta tecnología fueron las entidades bancarias y los proveedores de servicios financieros, gracias a la decisión del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC), que autorizó que se pudiera verificar la identidad de sus clientes mediante videoconferencia. Tras el éxito de la experiencia y la enorme satisfacción de las partes, su uso se está extendiendo a otros ámbitos como es el caso de la emisión de certificados cualificados que podrán usarse en transacciones con la Administración Pública española durante periodos con movilidad reducida (por ejemplo, Estados de Alarma) en servicios de notarías, solicitud de hipotecas, préstamos, así como en la contratación de seguros o servicios de salud.

Hablando de certificados, desde hace años, el certificado digital es una herramienta clave en las relaciones de ciudadanos y empresas con las Administraciones Públicas. Sin embargo, su obtención resultaba tediosa: solicitud, cita previa, desplazamiento a una determinada dependencia oficial y las casi obligadas esperas. Una serie de circunstancias, que se repetían en cada renovación y desanimaban a su solicitud. A pesar de que existen otras alternativas, más amigables, nadie daba el primer paso para ponerlas en marcha.

La crisis del COVID-19 y el confinamiento derivado del Estado de Alarma han acelerado esta transformación digital. De manera provisional y gracias a la 'video identificación' segura, cualquier ciudadano puede obtener su certificado digital, en apenas unos minutos, desde cualquier lugar. Sólo necesita una conexión a Internet y un dispositivo (PC, Smartphone o tableta).

imagen

41  |

El sistema ofrece dos modalidades: la vídeo identificación asistida y la vídeo identificación desasistida. En la primera, un agente guía al usuario en el proceso, y en la segunda, es el propio usuario el que es guiado mediante el sistema. Todo el proceso se graba y se recogen evidencias fehacientes de que el procedimiento ha sido legítimo como las fotos del anverso y del reverso del documento de identidad, un selfie de usuario, y otros documentos. En la modalidad asistida, el agente está formado para detectar cualquier falsificación documental y usurpación de identidad.

Por su parte, la video identificación desasistida cuenta con herramientas basadas en redes neuronales que evitan 'Deepfakes'. El agente realiza un protocolo de verificación que, en los documentos, incluye hologramas/kinegramas, iridiscencias y tintas OVI, imagen múltiple a láser, letras e imágenes en relieve y estructuras superficiales. También se comprueban los formatos de los documentos de identidad, ya que éstos se adaptan a los estándares internacionales regulados por la norma ISO/IEC 7810. Incluso    se   le   pide   al    usuario   que
rasque  con   su   dedo   el   microchip

imagen

de su documento para comprobar el sonido. Gracias a este proceso, se sabrá si se trata de un documento indubitado, aquel que no deja lugar a dudas sobre su autenticidad, o un documento dubitado, el que ofrece dudas sobre su autenticidad. El sistema debe contar con las medidas de seguridad necesarias, como enmascaramiento de datos, encriptación/cifrado o Tokenización.

El proceso de verificación se inicia solicitando una sesión de vídeo tras una petición cifrada bajo SSL y una autenticación basada en un token JWT. Además, durante todo el proceso de vídeo, la sesión cuenta con un token de transacción único que es validado en cada operación para garantizar la integridad de las peticiones. Cada una de las evidencias que se generan son almacenadas en un repositorio de documentos cifrado. Así mismo, los datos resultantes de la videoconferencia son referenciados entre los diferentes componentes del servicio mediante identificadores, por lo que la información permanece de forma confidencial en un único lugar y es solo accesible por las aplicaciones autorizadas. El servicio genera también un informe certificado donde se recoge absolutamente todo lo que ha ocurrido en el proceso.

Modalidades

En la modalidad asistida, el agente está formado para detectar cualquier falsificación documental y usurpación de identidad.

42  |

Actualmente, ya hay varias soluciones comerciales disponibles en España tanto de la modalidad asistida como de la desasistida. La posibilidad de utilizar este tipo tecnología durante períodos de movilidad ciudadana reducida para obtener un certificado digital puede suponer un impulso de su adopción generalizada, ya que son muchas las ventajas.

Llega para quedarse

imagen

43  |

imagen

Para Todos
Por: Manuela Muñoz

Un paseo por la historia de la ciberseguridad

El ser humano se ha enfrentado a diferentes peligros a lo largo de su historia, lo que ha provocado la creación de nuevas herramientas que permitan salvaguardar su integridad, pero ¿cómo ha sido esta evolución hasta nuestros días? ¡Te lo contamos!

Si echamos la vista atrás podremos comprobar que la seguridad ha estado presente desde los anales de la historia y ha ido evolucionando de su mano.

Desde la antigüedad, el ser humano se ha enfrentado a diferentes peligros, lo que ha provocado el origen de nuevos medios/herramientas que permitieran salvaguardar su integridad. Si hacemos un símil, este hombre primitivo, sin saberlo, estaba desarrollando la primera capa de seguridad: la física.

Esta evolución ha impactado en la seguridad de las empresas, desde que fueron constituidas las primeras hasta el modelo que conocemos hoy en el día. Estas compañías han experimentado un cambio transcendental, motivado por los avances tecnológicos a los que están expuestas.

Por ello, debemos hablar de dos figuras en el mundo de la ciberseguridad y ser capaces de diferenciarlos ya que son extremos opuestos: Hackers vs Ciberdelincuentes. Un hacker es un profesional que investiga los sistemas para detectar fallos y mejorarlos, mientras que un ciberdelincuente busca esos mismos fallos para explotarlos con fines delictivos.

imagen

Hackers vs ciberdelincuentes

Hay que remontarse hasta 1903, cuando el conocido como el mago Nevil Maskelyne logró interceptar la primera transmisión del telégrafo inalámbrico descubriendo un agujero de seguridad que revelaría las carencias del telégrafo sin hilos, lo que seguramente no se imaginaba este mago es que 100 años después sería recordado como el primer hacker de la historia. 

En el lado opuesto del cuadrilátero, se encuentra el primer ciberdelincuente: John Draper, también conocido como 'Captain Crunch', quien recibió esta denominación porque descubrió en los años 70 que modificando el silbato que se regalaba en las cajas de cereales 'Cap'n Crunch', se emitía un sonido a 2600 Hz con el que podía realizar llamadas de corta y larga distancia totalmente gratuitas, simulando ser una operadora de la central telefónica.

Evolución de las ciberamenazas

imagen

Pero, ¿cómo ha ido evolucionando el panorama de las ciberamenazas? En la década de los 70, la seguridad de las empresas estaba focalizada en el buen uso de la información por parte de los empleados. Sin embargo, debido a la evolución tecnológica, surgieron nuevos riesgos que no podrían ser cubiertos con las medidas aplicadas hasta el momento. El gran cambio se produjo con la llegada de los virus que se convirtieron en el principal objetivo de crecimiento de la seguridad a nivel global.

A principios de los 70, nos sorprendió Creeper, el primer malware, que llegaba a los computadores con el siguiente mensaje: "I'm Creeper, catch me if you can" -es decir, "Soy Creeper, atrápame si puedes"-. Creeper se colaba a través de ARPANET, la red precursora de la actual Internet. Para solventar los estragos causados por este virus, se desarrolló el primer antivirus de la historia, llamado Reaper, popularmente conocido como 'segadora'. A pesar de no ser un antivirus como los que conocemos hoy en día,llevaba a cabo las mismas funcionalidades. 

En los años 80, se produjo el auge del malware. En concreto, aparecía la primera generación de ciberamenazas determinada por la capacidad de réplica de programas maliciosos. La principal vía de distribución se realizaba a través de disquetes, CDs o memorias USB ya que Internet aún no estaba muy extendido entre los usuarios. Así, comenzaron a comercializarse los antivirus.

La segunda generación llegó en 1990, con la adopción de Internet por empresas y usuarios. Esta generación marca un cambio en la conectividad. Los ciberdelincuentes se profesionalizan en robar dinero y empiezan a utilizar técnicas que serán las precursoras de las conocidas actualmente. Para ello, se desarrolló el primer firewall de 'inspección de estado' de la industria.

En esta época, la sociedad aún no tenía una concienciación adecuada, la información se almacenaba en dispositivos extraíbles con pocas medidas de seguridad.

46  |

imagen

De este modo, en el año 2000 llegaba la tercera generación. Los ciberdelincuentes explotaban las vulnerabilidades informáticas de sistemas operativos, aplicaciones y hardware, siendo este un nuevo campo, en el cual se detectaban multitud de vulnerabilidades. Esto llevó a las empresas a combinar los antivirus y firewalls, asentando así la base de las infraestructuras de la seguridad empresarial. Con el auge de la utilización del email y las redes sociales, la velocidad de los ataques evolucionó y esta protección ya no era suficiente, debido al surgimiento de los ataques dirigidos contra herramientas encargadas de proteger la información y la red corporativa.

En la década de 2010, los ciberataques, además de ser masivos, se vuelven casi indetectables, debido a niveles de sofisticación sin precedentes. Se crean organizaciones de ciberdelincuentes donde empiezan a desarrollar malware de día cero. Los virus podrían estar ocultos en documentos adjuntos, 

publicidad comercial, imágenes, etc. Ante estos ataques, las empresas no podían estar protegidas y surge la cuarta generación, donde se desarrollan soluciones de seguridad avanzada con tecnología de prevención de amenazas para bloquear estos ataques antes de que pudieran explotarse. Se empiezan a utilizar herramientas de cifrado de información a nivel corporativo y a nivel personal, y se realizan las primeras leyes de protección de infraestructuras críticas.

En 2017 hablamos de los ataques de la quinta generación que tienen incidencia en todo tipo de industrias y afectan especialmente a móviles, clouds y redes empresariales. Estos malwares causan importantes pérdidas no sólo económicas sino también para la reputación de las grandes empresas, ya que desde un solo dispositivo se puede infectar toda la infraestructura de IT de una corporación. Uno de los más conocidos fue WannaCry que afectó a 300.000 ordenadores en 150 países.

47  |

Nuevos retos:
la seguridad de los teletrabajadores

Los nuevos retos a los que nos enfrentamos actualmente son el teletrabajo, tan demandado en estos últimos meses ya que supone un cambio disruptivo, además del auge de IoT (Internet of Things). Ante estas nuevas amenazas aparece un nuevo motor de explotación, basado en Inteligencia Artificial y técnicas de Machine Learning, para el uso ofensivo de la ciberseguridad que se cimienta en la capacidad de evolucionar   y  tomar  decisiones,

imagen
imagen
imagen

incluso de manera no supervisada por un ser humano.

En definitiva, el mundo de la ciberseguridad en los últimos 25 años ha evolucionado a velocidad de vértigo. Hemos sido testigos de la evolución de los ciberataques, pero esto no termina aquí. Tendremos que estar preparados para los nuevos retos que nos depare el maravilloso mundo de la ciberseguridad.

48  |

imagen

ómo

'cibersensibilizar' a tu organización y no morir en el intento

Uno de los retos más complicados a los que se enfrentan los CISOs en su carrera profesional es concienciar de la importancia de la ciberseguridad en una organización. En este artículo, te damos las claves para mejorar tu estrategia de concienciación

Si estás leyendo estas líneas es que quizás te encuentras en pleno proceso de concienciar a tu organización sobre la importancia de la ciberseguridad -¡me alegro de que sigas vivo!-. Incluso, es posible que hayas salido airoso de este proceso de sensibilización tanto en tu empresa como con tus hijos o tu cuñado. Si es así, por favor, no dudes en escribirnos y contarnos tu experiencia y decirte a ti mismo: "¡soy un campeón!".

  Para el resto de los mortales, aquellos que no leemos ningún tipo de guía sobre cómo instalar y manejar nuestra televisión o cómo hacer el pan mejor que nuestro vecino de confinamiento -si es que tienes suerte de encontrar levadura-, os dejamos estos humildes consejos. El objetivo es ayudar a motivarte y empezar a pensar en cómo mejorar tu estrategia de concienciación.  

Quizás, como responsable de seguridad, sea el reto más difícil, largo y complicado al que te vas a enfrentar en tu carrera, porque no olvides una cosa de suma importancia: vas a tratar con seres humanos.

El Rincón del CISO
Por: Jorge Oteo

2

imagen

Para comenzar a construir la estrategia de concienciación en tu organización, debes trazar un plan y nunca podrás hacerlo a corto plazo ya que ni funciona, ni existe. Es fundamental conectar con la gente y alinear el  'tener que' con 'la necesidad de y el beneficio de', es decir, conectar la emoción con la razón y que les lleve a la reflexión para conseguir iniciar el camino de cambio. Ten en cuenta siempre que se trata de un proceso de transformación en el comportamiento de las personas y que el objetivo final es disminuir el número de incidentes de seguridad de tu compañía. Las claves son:

1

Establece un plan a largo plazo (no te asustes, debe ser para siempre) pero con objetivos a corto que sepas que pueden funcionar y que no te hagan perder la esperanza. 

2

Aprende a comunicar bien, es la base del entendimiento. 

3

4

5

6

7

8

Sensibiliza primero a tus directivos sin utilizar el miedo a sufrir un ataque desde el principio. Eso sí, si tus directivos no están por la labor o no tienen interés en este proceso, puedes usarlo.

Conciencia después al resto de tu plantilla con un orden establecido: empieza por los que creas que son más fáciles de concienciar y deja los más difíciles para el final. Quizás así consigas que el resto los atraiga. 

Se creativo y empático para atraer su atención. No intentes concienciar con 'la gorra' de ingeniero, empatiza con ellos. Por ejemplo, puedes crear una historia divertida e interesante para este plan e incluso utilizar la gamificación. 

Busca a alguien que te ayude en este proceso, no lo podrás hacer solo.

Enseña los resultados a los diferentes comités del proceso y ten un cuadro de mando con unos KPIs sencillos pero impactantes.

Por último, piensa que es un proceso para toda la vida, donde vas a tener que hacer acciones, equivocarte, medir el resultado de las mismas y seguir insistiendo. Recuerda esta frase de la película La Chaqueta Metálica: "Hasta que no seas una máquina de matar, seguirás siendo recluta patoso".

imagen

01

02

03

04

05

GOVERNARCE: Estrategia y metas de concienciación

 CULTURA : Alinear estrategia de concienciación en seguridad de la organización, procesos,       tegnología.

CONCIENCIACIÓN: Habilidades, comportamientos, conocimientos, hábitos.

MOTOR CAMBIO: Gamificación, métricas, atención aciva.

COMUNICACIÓN: Endomarketing, comunicados

imagen

2

Algunos datos que te pueden ayudar a dar valor a este proceso de concienciación sobre la ciberseguridad de tu empresa son:

●        2018 Más del 96% de los ciberataques se producen por malas prácticas de los usuarios.
●        El 60% de los ciberataques producidos en 2019 se basaron en credenciales previamente robadas y vulnerabilidades de software.
●        Los ataques de ransomware costaron a las organizaciones más de 7.500 millones de dólares en 2019 por lo que, viendo esta cifra, todo parece apuntar a que este tipo de ataques no van a reducirse durante 2020.  
●        Los ciberdelincuentes explotaron las vulnerabilidades en el 30% de los incidentes observados, en comparación con sólo el 8% de.

Gula: no deberías comerte todo esto sólo, no podrás. Busca ayuda externa y aliados internos. Entre todos, la merienda será más digestiva.

Pereza: los detalles son importantes, no los descuides, persevera y trabaja mucho, no hay otra clave

Ira: ya te dije que tratarás con seres humanos, así que respira y ten paciencia durante este proceso. Sigue enfocado en tus objetivos

Envidia: es un sentimiento o estado mental. Sentirás envidia de aquellos que no se han metido en este tipo de líos. Aprende a disfrutar de este proceso para que te envidien a ti.

Soberbia: se orgulloso de tus logros, pero nunca soberbio de ellos. Celebra cada acción o paso que hayas conseguido, porque sólo tú sabes el esfuerzo que hay detrás de este trabajo.

Lujuria: este no lo comentamos para no meternos en líos.

imagen
imagen

Diario del CISO:

Los incidentes de seguridad pueden suceder en cualquier momento, por ello, debemos estar preparados para cuando ocurran. En este artículo trataremos los pasos que debe seguir un CISO o responsable de ciberseguridad para enfrentarse a un hackeo

Gestionando un incidente
de seguridad

El Rincón del CISO
Por: Ana Castillo

Es bien sabido por todos, que tarde o temprano, llega el temido día en el que recibes 'la llamada'. Si los dioses son benevolentes, quizás sea en un horario normal, pero lo más posible es que te saquen de un sueño reparador, y seguro que muy merecido: -¡Nos han hackeado!-, dice una voz nerviosa al otro lado del teléfono. Estas tres palabras provocan en el cuerpo de un CISO, o responsable de ciberseguridad, una serie de reacciones químicas que lo ponen en marcha. Dejando a un lado el tema de la prevención y la detección del incidente, que trataremos más adelante, hoy me centraré exclusivamente en la gestión de un incidente ya producido. En concreto, voy a mostraros una de las muchas maneras que tenemos de responder a las preguntas: ¿Qué? ¿Cómo? ¿Cuándo? Y, de ser posible, ¿Por qué? y ¿Quién?, mediante la realización de una serie de pasos mientras dura el incidente.

imagen
imagen
imagen
imagen
imagen
imagen
imagen

En esta fase inicial, deberás hablar con muchas personas de la organización, por lo que previamente tendrás que haber establecido una matriz de comunicaciones y personas a las que notificar un incidente de seguridad cuando éste ocurra.

Si no la tienes, empieza por lo obvio: personal subordinado a ti, tu superior, y no está de más que pongas el incidente en conocimiento del departamento jurídico, ya que a posteriori deberás tomar decisiones en las que ellos participarán de un modo u otro.

Dado que aún no sabes si el incidente involucra datos de carácter personal, de manera preventiva, también puedes informar al DPD o Responsable de Protección de Datos de tu organización, ya que en caso de haber una fuga de datos personales, en menos de 48h, deberéis informar a la Agencia de Protección de Datos (AEPD).

Como todavía no dispones de mucha información, serán comunicaciones cortas y seguro que un poco angustiosas. Trata de responder a las muchas preguntas que surgirán sin elucubrar, porque en este momento del incidente, solo sabes seguro que 'algo ha sucedido'.

Notificando el incidente

imagen

Si el incidente involucra datos de carácter personal, de manera preventiva, también puedes informar al DPD o Responsable de Protección de Datos de tu organización

54  |

En este punto del proceso, entenderás qué ha sucedido y dónde, y qué tipo de ataque ha recibido la empresa y lo clasificarás en base a la tipología y la gravedad. Es muy importante que vayas levantando acta y realizando un documento, es decir, una especie de informe de detección -como fase temprana al 'Informe del Incidente'- que incluya información, aún no muy precisa, de lo que ha sucedido, y que sirva de punto de partida.

Al mismo tiempo, deberás seguir informando, y para saber a quién debes contactar, pregúntate lo siguiente:

*¿Quién te gestiona el equipo afectado (servidor, pc, aplicación)?

*¿Quién te gestiona el FW a través del que supuestamente ha entrado y que posiblemente contenga logs del incidente?

*¿A quién afecta que esta infraestructura deje de funcionar? 

Tras analizar estas cuestiones, deberás convocar a un 'Comité de crisis', formado por los responsables o representantes de los departamentos afectados por el ataque, que actuará durante todo el incidente.

Después, recopila todas las evidencias que encuentres y añadelas al documento que estás construyendo. Y una vez más -no temas ser pesado- debes hacer una ronda de comunicaciones dentro o fuera de tu organización. Mantén a los interesados constantemente actualizados.

Recopilando información

imagen

Tras analizar estas
cuestiones, deberás
convocar a un
'Comité de crisis'

55  | 

imagen

Clasificando y categorizando
el incidente

En este momento, ya tendrás suficiente información como para decir si el incidente es una denegación de servicio (DDoS), una infección por malware (ransomware incluido), una violación de políticas, un hacking, o cualquier otro tipo de los existentes y cuyos catálogos puedes encontrar en la red en muchos sitios. También deberás determinar si su gravedad es alta, media o baja, en función de los sistemas comprometidos y su impacto en el negocio de tu compañía.

Es importante que resistas la tentación de catalogar como alto un incidente que produzca, por ejemplo, una encriptación de datos basándote en la cantidad de trabajo que genera o debido al componente psicológico negativo que tiene en todos los departamentos de TI por el encriptado de archivos. Si en el futuro te encuentras con brechas de seguridad con afectación a la imagen pública de tu compañía o incluso a la protección de datos personales, tu clasificación de los incidentes se volvería inconsistente al volver a catalogarlo al mismo nivel.

Todos los incidentes parecen de la mayor gravedad, y más a las 3:00 a.m., pero recuerda mantener la cabeza fría durante el incidente, por grave que sean las consecuencias, porque eso es lo que se espera del responsable de ciberseguridad.

imagen

56  |

De la información que has recopilado, se generarán una serie de acciones a tomar, bien sean para revisar otras máquinas no afectadas para contener el incidente o incluso volver a plataformar el equipamiento afectado. Todas estas tareas deben quedar reflejadas con su correspondiente responsable en el informe que has estado construyendo durante todo el incidente. Vuelve a informar (sí, sé que me repito), porque debes mantener una comunicación fluida en todo momento.

Si no sabes bien por dónde empezar, en estas imágenes puedes ver la lista de tareas genéricas ante un incidente (01), que irá creciendo o decreciendo a medida que te vayas enfrentando a más incidentes, hasta que tengas tu propio listado. Las he dividido para que veas cuáles debes realizar también si el incidente es de tipo ransomware.

Por último, da por concluido el incidente, cuando la arquitectura afectada esté limpia y/o recuperada, transcribe el informe correspondiente y comunícalo a todos los afectados. Aunque en este tema, como en cualquier otro, entran en consideración las interpretaciones y la experiencia de cada uno, y mi aportación es solo una de las muchas maneras posibles de enfrentarse a distintas eventualidades. Espero que este artículo te ayude a afrontar un incidente de seguridad.

imagen

Conteniendo y/o resolviendo el incidente

57  |

imagen

2

2

imagen

Área Técnica

2

Hemos conocido estos días el incremento y la sofisticación de las amenazas utilizadas en tiempos de COVID-19. No cabe duda de que esta nueva realidad ha proporcionado el caldo de cultivo perfecto para los diferentes actores implicados en los ciberataques más recientes.
La idiosincrasia de cada tipo de atacante está definida por sus motivaciones. Podemos decir que la principal motivación suele ser la económica. Por un lado, son atacantes que pertenecen a bandas de ciberdelincuentes y sus beneficios son directamente los obtenidos de sus ciberataques -estos son los que más proliferan actualmente-. Y, por otro lado, son grupos gubernamentales dedicados al robo de información y espionaje, donde el 'funcionario' está simplemente 'realizando su trabajo'.
También es interesante observar cómo se ha producido un incremento de los ataques cuya motivación es únicamente la pura diversión, por ejemplo, la destrucción con malware del sector de arranque de un disco, recuperable sí, pero molesto. Los grupos hacktivictas no se han visto involucrados en acciones específicas en relación con el coronavirus, pero tampoco puede descartarse su participación teniendo en cuenta que el devenir de los acontecimientos señala a factores como los económicos y sociales en serio peligro. Sin duda, estos factores actuarán como impulsores de acciones y protestas contra grandes corporaciones y gobiernos.

El ser humano, el eslabón más débil

Una vez más, el humano sigue siendo el eslabón más débil, por lo que la ingeniería social, elemento catalizador en un gran número de amenazas ha cobrado especial importancia para el grado de afectación alcanzado. La ingeniería social se sustenta principalmente en la curiosidad, la sensación de urgencia y el miedo. Sensaciones que la situación de pandemia amplifica y que están constituyendo, junto con el aumento exponencial del uso de sistemas informáticos en el ámbito personal y profesional, uno de los principales factores que permiten la consecución de muchos de los ciberataques observados durante el análisis.
El principal vector de amenaza sigue siendo el correo electrónico y las amenazas que conlleva, generalmente, en forma de adjunto o hiperenlace
que contiene un malware o un exploit y que, mayoritariamente, está diseñado con el objetivo de robar información o de obtener crédito económico mediante troyanos bancarios, coinminers y, por supuesto, ransomware. 
Las principales técnicas utilizadas para aumentar la posibilidad de evadir las medidas preventivas incluyen métodos tan sencillos como comprimir los archivos adjuntos con una contraseña, esto generalmente se observa en el cuerpo del correo. De esta forma, se evita que el antivirus o los sistemas de sandboxing puedan analizarlos. Otro tipo de técnicas utilizadas estos días se basan en el propio diseño de la amenaza, utilizando software legítimo infectado, instaladores y otros muchos tipos diferentes de evadir las medidas de protección, haciendo creer al sistema y a los usuarios que se trata de binarios inocuos. En este sentido, es interesante observar cómo los atacantes han utilizado prolíficamente malware desarrollado con autoit. A pesar de que esto no es nada nuevo, sin duda, sigue siendo una de las formas más efectivas de reducir el número de detecciones por elementos de protección.

59  |

2

imagen

Tras la observación de las familias de malware analizadas, principalmente, encontramos documentos ofimáticos o en formato PDF que suelen actuar generalmente como dropers o downloaders del siguiente payload, pero también hemos visto el uso de exploits. Los más comúnmente encontrados han sido:

El número de familias de malware encontrados es muy amplio, pero podemos poner especial foco en troyanos y ransomware. Alguno de los más vistos durante el análisis son los siguientes:

imagen
imagen

2

Una vez que hemos realizado un análisis general del las amenazas observadas durante el estudio, pondremos atención en una de ellas. Se trata de un email malicioso que tiene como objetivo a la Organización Mundial de la Salud, concretamente, a su cuenta de contacto who60@who.int. El análisis de la muestra no ha ofrecido ninguna sorpresa. Se trataba de una variante del Ransomware Loki que está siendo utilizada estos días por diferentes grupos del cibercrimen ruso. Como podemos ver en el correo, viene en un fichero comprimido denominado 'Covid-19_UPDATE_PDF.7z',  que al descomprimir nos muestra el siguiente fichero.

imagen
imagen

2

Al realizar un análisis inicial, vemos como se encuentra desarrollado en Delphiy y que utiliza un packer específico de este tipo de familias, con algunos detalles interesantes como veremos a continuación. En primer lugar, procederemos a la localización del packer, para que posteriormente, y mediante ejecución dinámica con Olly exrtaer, el malware final quede desempacado. A continuación, podemos ver la función que realiza el empacado y que he nombrado 'PACKER', la cual contiene una llamada a otra subrutina nombrada 'PACKER_1' y que serán las encargadas de desempacar la muestra. La siguiente captura muestra la estructura del flujo de la función 'PACKER_1'.

Una vez localizadas, colocaremos los brackpoints correspondientes en Olly para que el malware pare su ejecución en esta rutina. Adicionalmente, pongo también Breackpoints en VirtualAlloc y virtualProtect, de este modo veremos cuando el packer va accediendo a la zonas de memoria donde volcará el payload final desempacado.

En la siguiente captura de pantalla vemos como el malware ya se ha desempacado y lo tenemos en memoria listo para ejecutarse.

Del estudio del payload final observamos algunos detalles de interés sobre esta muestra utilizada durante las campañas enmarcadas en estos meses, las cuales no han pasado inadvertidas a diferentes analistas.

Las comunicaciones se realizan a una url bajo el dominio brokenme[.]xyz.

Observamos también capacidades de robo de credenciales en navegador.

Hay un par de strings interesantes en el binario, que dan información de un dominio y una librería utilizada para su empacado. aPLib es una librería de compresión basada en el algoritmo usado en aPACK.

El dominio Fuckav.ru indica que se ha usado un constructor, llamado 'Loki stealer v 1.6 builder', el cual incluye en el campo Identificador Binario (BIN_ID) del malware Loki original ese dominio.

Podemos concluir que se trata de un ataque realizado por un actor de tipo cibercrimen, probablemente ruso y con motivación económica. En definitiva, y por muy repetitivo que pueda sonar, las conclusiones que podemos extraer son:

imagen
imagen
imagen

La ciberseguridad
y su paleta de colores

Con el fin de concienciar a los desarrolladores sobre la importancia de la seguridad en las aplicaciones o servicios desde su concepción, surgen nuevos equipos que complementan a los ya conocidos como blue y red team


Area Técnica
Por: Patricia Mármol

Los colores son capaces de crear estímulos en las personas. Pueden hacernos sentir enérgicos o relajados, tristes o alegres, incluso pueden transmitir sensaciones como calor o frío. Cuando oímos la palabra ciberseguridad, solemos imaginarnos dos bandos enfrentados, por un lado, 'los buenos' relacionados siempre con el color azul y, por otro, 'los malos' -con la capucha puesta- y en color rojo. Y no vamos desencaminados, pero no todo es blanco o negro -o en este caso, rojo o azul-, existen muchos colores intermedios.

imagen

Hasta ahora, el departamento de seguridad de las organizaciones estaba dividido en dos grandes equipos. Por un lado, el red team, formado por empleados de la compañía o externos, cuya función es realizar hacking ético, es decir, buscar brechas de seguridad que pueden ser explotadas por individuos malintencionados. Este equipo se encarga de la seguridad ofensiva, cuyas tareas son: la explotación de vulnerabilidades, la realización de test de intrusión, la ingeniería social o el escaneo de aplicaciones web, entre otras funciones.

Y por otro lado, el blue team que son los defensores de la organización. Su función es establecer las medidas de protección dentro de una compañía. En concreto, son los encargados de la seguridad defensiva: protección de infraestructura, control del daño y respuesta ante incidentes, entre otras acciones.

Estos dos equipos serían la conjunción perfecta si las organizaciones permaneciesen estáticas. Sin embargo, existen procesos adicionales, automatizaciones o soluciones que se crean constantemente por desarrolladores o arquitectos. Esto provoca que la superficie de ataque potencial vaya creciendo a medida que se incorporan estos nuevos cambios o integraciones, por lo que los equipos de red y blue team ya no son suficientes.

imagen

66  |

La seguridad se ha convertido en parte fundamental a tener en cuenta desde el inicio del desarrollo de las aplicaciones o servicios. Y aquí surge este nuevo equipo, el yellow team, compuesto por desarrolladores de aplicaciones, arquitectos de sistemas o ingenieros de software. El objetivo es concienciarles y educarles para que conozcan cómo son atacadas las organizaciones. De esta manera, a la hora de programar una aplicación, sabrán cómo hacerla más segura para que no haya futuras brechas de seguridad.

imagen

El arcoíris de la ciberseguridad

Pero no sólo los colores primarios -azul, rojo o amarillo- son importantes para securizar las organizaciones. Existen también otros colores secundarios que combinados permiten orquestar una seguridad eficiente y organizada en las empresas. Y así surgen estos nuevos equipos de colores que componen la famosa rueda de InfoSec, conocida como InfoSec Wheel.

La idea es mezclar las habilidades de atacantes, defensores y desarrolladores, logrando que tanto el código como las organizaciones sean más seguras ya que la seguridad no puede construirse en silos separados. Pero, ¿cuáles son estos equipos y qué papel desempeñan dentro de una organización?

Purple team o equipo morado: surge de la combinación del red team y del yellow team. La misión del red team es concienciar y enseñar al equipo de desarrolladores cómo funciona la mente de un atacante y qué técnicas utiliza para infiltrarse en las aplicaciones o servicios con el fin de que los propios desarrolladores aprendan esa manera de pensar y sean ellos mismos quienes, desde la propia concepción de los servicios y aplicaciones, puedan aplicar las técnicas o los mecanismos que les aconseja el blue team para solventar estos posibles ataques. En definitiva, integran las tácticas defensivas en el desarrollo de las aplicaciones con resultados ofensivos.

Orange team o equipo naranja: facilita la interacción y la educación. La razón de muchos errores de seguridad dentro del software no son los programadores maliciosos, sino la falta de concienciación y seguridad dentro de los equipos y arquitectos de desarrolladores de software. El propósito del equipo naranja es inspirar al equipo amarillo para que sea más consciente de la seguridad, proporcionándole educación que pueda implementar desde el diseño de la aplicación o el servicio.

Green team o equipo verde: es una versión del equipo morado teniendo en cuenta tanto las posiciones de defensa del blue team, como las del atacante, del red team. Una vez concienciados los desarrolladores, estos deben incluir mejoras en la automatización de la seguridad tanto en el diseño como en el código, ya que si ellos mismos internalizan esta forma de trabajar, pueden desarrollar de manera segura sus trabajos diarios.

imagen

67  |

imagen

White team o equipo blanco: se encarga de orquestar a todos estos trabajadores. Permite el cumplimiento y la gestión logística de todos los equipos. En definitiva, si los desarrolladores (o yellow team) cuentan con el punto de vista de los atacantes, red team, y el punto de vista de los defensores, blue team, se conseguirá que el resto de equipos esté más concienciado sobre la importancia de la securización de las aplicaciones o servicios y, además, incluyan esta funcionalidad desde el momento de su concepción ya que, como dice el refrán, 'más vale prevenir, que curar'.

imagen

SIGINT, análisis de señales y SDR en el ámbito civil

Aunque la tecnología Signals Intelligence (SIGINT) suele estar ligada a las disciplinas del ámbito militar, también es muy importante tenerlas en cuenta en un entorno civil

Area Técnica
Por David Marugán

imagen

Es habitual cuando se habla de SIGINT (Signals Intelligence, por sus siglas en inglés) y especialmente sobre el trabajo del analista de señales, que el contexto donde situemos estas disciplinas automáticamente sea el militar. Y es que se trata de una de las fuentes de inteligencia más importantes en este ámbito.

En este artículo se intentará poner de manifiesto la importancia de estas disciplinas en el ámbito civil, y cómo las tecnologías SDR (Software Defined Radio) pueden ayudarnos en las tareas relacionadas con la seguridad.

 _

En primer lugar, debemos tener en cuenta que la Inteligencia de Señales o SIGINT engloba a su vez a diferentes tipos de inteligencia. Por mencionar, las dos divisiones más conocidas son:

ELINT
(Electromagnetic Intelligence)
, se refiere a la inteligencia de no comunicaciones, como pueden ser simples campos eléctricos y magnéticos, por ejemplo, las señales de radar de un adversario.

COMINT
(Communications Intelligence)
, trata de la inteligencia de las comunicaciones en cualquier medio conocido, como las radiocomunicaciones, la telefonía y el intercambio de datos por Internet, entre otros.

Dentro de las disciplinas que engloba el SIGINT, tenemos la figura poco conocida del Analista de Señales, que se encarga de llevar a cabo el trabajo del análisis y procesamiento de una señal, -que puede ser desconocida al principio-, a través de herramientas de software y hardware específicas.

imagen

Receptor de señales profesional EB-500 de Rohde & Schwarz. Foto del autor

Hay que matizar que es complejo hoy en día encontrar analistas de señales experimentados fuera del ámbito militar, que es donde básicamente se puede encontrar formación especializada en SIGINT, aunque como veremos, estos expertos también aportan mucho valor en el terreno de la seguridad civil. El analista intentará obtener la mayor información técnica de las señales que analiza, con el fin de elaborar un producto de inteligencia. Por ejemplo, algunas cuestiones que es capaz de responder son: ¿qué sistema ha podido generar la señal? ¿cuál es su ancho de banda, modulación, etc.? ¿usa algún tipo de cifrado o secrafonía? ¿quién y para qué la envía? ¿a quién va destinada? ¿por qué?

El análisis de señales de radiofrecuencia se trata de un trabajo complejo y que requiere una formación muy específica.

70  |

Aunque es una tecnología que se remonta a los años 90, los denominados SDR se han popularizado recientemente por brindarnos la posibilidad de tener hardware muy económico y al alcance de cualquier organización, para poder desarrollar diferentes análisis relacionados con la seguridad en RF. Algunos casos de uso de estas tecnologías podrían ser:

*Auditoría de seguridad a redes de radiocomunicaciones.
*Auditoría de seguridad a despliegues de redes IoT.
*TSCM (Technical Surveillance Counter-Measures), como la detección de                 dispositivos de espionaje o escucha.
*Monitorización a tiempo real del espectro, para detectar posibles ataques o exfiltración de datos en entornos críticos.

imagen

SDR Ettus Research USRP N210. Foto del autor.

Por poner un ejemplo, hoy las comunicaciones de una red de radio digital DMR o TETRA pueden ser decodificadas a tiempo real con un simple SDR 'low-cost' de unos 10 euros si la red no emplea ningún tipo de cifrado. En ocasiones se tiende a confundir 'decodificación' con 'descifrado', por lo que es importante matizar que redes como TETRAPOL usan un cifrado aceptable   en  términos  de  seguridad

para su uso por parte de las Fuerzas y Cuerpos de Seguridad del Estado y otros organismos similares, como los englobados en la red SIRDEE, lo que hace que sean resistentes a un sencillo ataque de decodificación a través de un SDR 'low-cost'. Es muy habitual encontrar organizaciones que no usan ningún tipo de cifrado en sus comunicaciones radio analógicas o digitales.

A veces olvidamos que las comunicaciones radio no son solo tecnologías WiFi y Bluetooth, entre otras. Un posible atacante aprovechará cualquier superficie de ataque posible para ejecutar sus acciones, por ejemplo, interferencias intencionadas o radiojamming, ataques de replay o suplantación de señales (como GPS o AIS), así como escuchas no autorizadas.

imagen
La 'democratización' del acceso a estas herramientas y su bajo coste pueden suponer un riesgo de OSPEC o seguridad operacional para organizaciones de muy diferentes sectores como infraestructuras críticas, industria y otros. Quizás sea el momento de plantearse seriamente la seguridad RF en nuestras organizaciones y llevar a cabo las correspondientes  auditorías   RF, 

SDR Análisis de señal IoT Sigfox con el software SA. Foto del autor.

contando para ello con expertos en este campo, como podría ser un analista de señales, al igual que hacemos con otras tecnologías probablemente más conocidas. Así podremos dar una respuesta acorde a las amenazas que plantean estos ataques, que en ocasiones pueden representar un riesgo muy serio, y que por desgracia a veces no es valorado y tratado adecuadamente.

72  |

imagen
imagen

2

imagen

En Profundidad



Por: Rafael Tortajada

imagen

2

La revolución digital ha cambiado nuestra forma de comunicarnos y de relacionarnos con nuestro entorno. Las máquinas han evolucionado y cada vez son más potentes, lo que ha provocado que nuestro entorno se modifique de una forma desconocida hasta ahora. Este artículo trata sobre un arte antiguo, la Esteganografía, cuyo origen etimológico proviene de las palabras griegas 'steganos' (oculto) y 'graphein' (escribir). Su traducción literal sería 'escritura oculta' pero, ¿qué significa esto?

La esteganografía se puede definir como el arte de ocultar información o bien la ocultación de la información a través de una cubierta inocente. Esta técnica no es nueva. Se conocen escritos que cuentan la antigua historia de Heródoto, en la que un esclavo enviado por su maestro Histieo marcha a la ciudad de Mileto con un mensaje secreto tatuado en la cabeza. 

Para ocultar dicho mensaje, el esclavo se dejó crecer el cabello y viajó hasta Mileto. Allí se afeitó la cabeza, dejando el mensaje al descubierto para su receptor Aristágoras. Este mensaje era de vital importancia ya que invitaba a Aristágoras a la rebelión contra el rey Persa. Aquí el mensaje es la clave, por ello, viaja oculto a todo el mundo y su receptor debía ser el único en leerlo.

En la Primera Guerra Mundial también se utilizó esta técnica, que consistía en ocultar información en textos normales usando tinta invisible. Este procedimiento se ha considerado secreto por la CIA hasta 2011.

imagen

75  |

imagen

2

  Otros métodos que se pueden usar para guardar información son el cifrado nulo o técnicas de micropunto. Por un lado, el cifrado nulo se basa en usar ciertas letras o sílabas de un texto como mensaje y el resto sirve de camuflaje. La parte útil del mensaje se puede descifrar usando una secuencia conocida, que puede ir cambiando, o una matriz. Por su parte, la técnica de micropunto permite reducir una página a un punto que puede ser añadido en un texto, ocultándolo totalmente.como texto de relleno en documentos electrónicos

En la actualidad, las técnicas de ocultación a través de esteganografía han sido utilizadas, por ejemplo, por el ISI para la ocultación de mensajes secretos en fotografías. En este caso, usaban webs de contenido para adultos para ocultar la información.

Adicionalmente, el ingeniero informático Hervé Falciani utilizó esta técnica para la filtración del banco suizo HSBC. Falciani es conocido por haber proporcionado a las autoridades una lista -en concreto, la lista Falciani-, que incluía los nombres de personas que tenían cuentas en el Banco HSBC y, presuntamente, habían cometido fraude fiscal. Como podemos ver, cuando se emplea la esteganografía los datos permanecen ocultos aunque, paradójicamente, se encuentran a la vista de todo el mundo, es lo que hace que esta técnica sea muy simple de usar pero muy difícil de localizar. 

En estas últimas décadas, con la explosión del mundo digital, Internet ha provocado que la esteganografía tome una nueva dimensión, debido a la aparición de técnicas de ocultación usando archivos muy extendidos actualmente como audios, vídeos imágenes y texto, lo que hace muy difícil percibir la información oculta. Existen, además, otras técnicas de ocultación más complejas como son el uso de protocolos de comunicación de redes o la ocultación en sistemas de ficheros.Sin embargo, ¿qué pasa si modificamos o copiamos los elementos que alojan nuestra información oculta?

A través del método de marcado, la información sumergida en este elemento digital permanece a pesar de ser modificado, esto es lo que se denomina robustez del método.En este artículo, mostraremos lo sencillo que es ocultar información en archivos corrientes e intentaremos hacer ver a las empresas lo fácil que es robar información, sin necesidad de ser un ciberdelincuente, tan sólo usando programas que se pueden descargar en Internet. Los métodos más usados en esteganografía para ocultar la información son:

imagen
imagen
imagen
imagen

"La fotografía es una de mis mayores aficiones"

imagen

Ocultación de información en imágenes

Hay diferentes métodos de ocultación en imágenes, sin embargo, uno de los más populares es LSB (Least Significant Bit), que se basa en la utilización del dígito menos significativo para ocultar el mensaje. Otro método utilizado es el estadístico, que busca los valores más redundantes del archivo y ubica allí los bits que hacen referencia al mensaje que se desea ocultar.  

La imagen resultante no debe verse alterada. Por supuesto, hay que contar con las limitaciones del ojo humano, que hacen que no se note la degradación de los colores al cambiar el bit menos significativo del píxel. La tonalidad del color resultante es casi la misma que la original.

Cuando se oculta información en archivos gráficos se aprovechan los bits menos significativos de los colores RGB para introducir en ellos la información. Si la relación entre la información a ocultar, el tamaño de la imagen y el número de colores es buena, resulta prácticamente imposible diferenciar la imagen original de la imagen con información oculta.  

El método LSB es uno de los más comunes, dada su fácil implementación. Trabaja directamente con los bits de la imagen, modificando el bit menos significativo de cada pixel, cambiando dicho bit por el bit de información que queramos almacenar. Por seguridad, se podría cifrar previamente la información a ocultar para aplicarle después las técnicas de esteganografía. En el siguiente ejemplo se puede observar de forma gráfica estos conceptos.

Bits trama primaria del archivo 

10100110   11111010    11010101
00011011   11011001   01001101
11100010   11110001   10110001

Si por ejemplo queremos escribir una A en decimal en código Ascii es 65, en binario sería 01000001. Una vez pasado ese grupo de bits por el programa estenográfico quedaría:

10100110   11111010   11010100
00011011   11011000   01001101
11100010   00001110   10110001

Así cada carácter o gráfico que queramos ocultar irá reemplazando en binario el fichero original al modificado.

Para llevar a la práctica estos métodos, existen distintos programas, tanto con interface gráfica como con línea de comandos. Ejemplo de ello son los programas steghide u OpenStego. Steghide se usa a través de la consola de Linux y permite esconder información de forma muy sencilla dentro de otro fichero tanto de imágenes como de sonido. Además, con este programa también es posible cifrar información, ya sea una palabra o una frase. Está disponible para Windows, Linux y como código.

El uso de Steghide es muy simple como se puede ver en los siguientes ejemplos:             Ver información del fichero: 
steghide info nombre_fichero            
Ocultar información dentro del fichero recipiente:                        
steghide embed -cf fichero_recipiente -ef fichero_ocultar            
Extraer información del fichero recipiente:                        
steghide extract -sf fichero_recipiente
En este ejemplo, nos pide cifrado, el programa nos pide "Anotar Salvoconducto", esto se refiere a la clave que queramos poner.

"La fotografía es una de mis mayores aficiones"

imagen

Ocultación de información en ficheros multimedia.

Cada vez son más los usuarios que utilizan reproductores tanto de vídeo como de audio en su día a día, por ello, utilizar estos ficheros para ocultar información es un método eficaz para que los datos pasen totalmente desapercibidos. Además, estos ficheros permiten ocultar una gran cantidad de datos gracias a su tamaño. Este método de ocultación se puede observar en la serie de televisión Mr. Robot cuando Elliot, el hacker, guarda toda la información de sus hackeos en CDs de música, quedando así la información oculta pero a la vista de todos.
En estos casos, se utilizan diferentes técnicas apoyándose en las características de los soportes de almacenamiento:

● Técnicas basadas en LSB (Least Significant Bit) en muestras de 
audio, como puede ser la herramienta stegowav
● Técnicas de ocultación en la fase de una señal
● Técnicas de ocultación en el eco de una señal
● Segmentación de la señal de audio de forma adaptativa
● Ocultación basada en algoritmos de compresión, como la                  herramienta Mp3stego

Ocultación de información en el sistema de ficheros

Un sistema de archivos guarda la información de los ficheros por bloques, dependiendo del sistema de archivos así será el tamaño de los bloques. Por ejemplo, en el antiguo FAT16 el tamaño de los bloques era de 32 Kbytes, mientras que en el formato más usado en Linux ext4, el tamaño por defecto es de 4 Kbytes al igual que NTFS. En ambos casos se puede elegir el tamaño del clúster. 

Como podemos ver, en nuestro ordenador el tamaño de un fichero no tiene que coincidir con el tamaño de un múltiplo del bloque, aunque ese espacio está reservado no se está usando. Esto se conoce como fragmentación interna del fichero o slack space. Las técnicas de esteganografía usan esos 'huecos' para esconder la información. Los ficheros a utilizar no pueden ser modificados ya que si es posible cambiarse por el sistema o por usuarios, éstos borrarán la información que queremos ocultar y no la podremos recuperar. Por este motivo, se usan ficheros que no cambien, ya sean ficheros de sistema o creados expresamente por el usuario para contener la información que se quiere esconder.  

¿Qué ventajas e inconvenientes tiene este método para ocultar información? La principal ventaja es que su método de ocultar la información tanto al sistema operativo como a las aplicaciones que acceden al fichero. La información queda oculta al no ser direccionable por el sistema. Sin embargo, su desventaja es que el fichero pierde la información que queremos ocultar cuando se copia a otro método externo.  

Otra técnica que se puede usar en este ámbito es la ocultación de información en 'sectores defectuosos'. Al igual que el sistema marca como defectuoso un sector, es posible utilizar esta técnica para ocultar información, usando herramientas que marcan los sectores como no usables y almacenan ahí la información. Esto hace que, si se copiaran los ficheros a un medio externo, no se copie la información que queremos ocultar y, por supuesto, esta información puede ser previamente cifrada.

"La fotografía es una de mis mayores aficiones"

imagen
imagen

Ocultación de información en tramas de red

Se trata de una de las técnicas menos conocidas para ocultar de información. Se basa en el envío de información en las tramas de protocolos de red. Los datos que queremos ocultar van encapsulados dentro del protocolo de red y son transmitimos por Internet. La esteganografía de red se basa en tres métodos principales:

●         Encapsular un protocolo en otro. Es uno de los métodos más usados. Por ejemplo, imaginemos que queremos enviar información a un receptor, usando un protocolo como el HTTP, que se utiliza para conectarnos a una página web. La elección de este protocolo es para poder saltarnos los firewall perimetrales -aunque la cosa cambiaría con los firewalls de nueva generación que miran las aplicaciones y, por supuesto, si están configurados de forma segura-. Un programa para probar este método sería el HTTP-Tunnel.
●         Encapsular información en el campo de datos de un protocolo. Se usan campos que no se llenan para enviar la información. Por ejemplo, el protocolo ICMP, es el que se encarga del mantenimiento y control de las redes. Cuando interrogamos el estado de otro ordenador, hacemos un 'PING' a ese equipo. Esto se hace bajo el protocolo ICMP. Se pueden utilizar los 56 bits del campo ECHO para enviar información. Para poder ejercitarnos con este método, existe una herramienta creada en lenguaje Python llamada Scapy, a través de la cual es posible enviar información. Scapy se puede usar como librería en Python para 'trocear' mensajes y hacer un emisor y receptor.
●         Encapsular información en un campo numérico de un protocolo. Esta técnica usa un servidor intermedio para que nuestra IP no aparezca. Así, nos hacemos pasar por este servidor y nuestro receptor no logra saber quiénes somos. Para ello, se usan los paquetes SYN y SYN-ACK, este último es el que manda el servidor intermedio hacia el ordenador al que queremos enviarle la información. Al utilizar el paquete SYN, pondremos como emisor la dirección del ordenador al que queremos mandar la información. En este caso, ocultamos hasta nuestra IP y nos hacemos pasar por otro. Para practicar, podemos usar el programa ncovert. Para poder usar esta técnica, recomiendo Scapy, ya que existen muchos tutoriales de cómo emplearlo que incluyen ejemplos implementándolo con Python o usando su propio intérprete de comandos. Esto a su vez permite profundizar en uno de los lenguajes de programación más s usados por los hacker como es Python.  

imagen
imagen
imagen

Ocultación de información en Android
Hoy en día todos llevamos encima un smartphone, por lo que usarlo para ocultar o enviar información de forma segura lo hace especialmente útil. Existe en Google Play una aplicación llamada PixelKnot que permite enviar mensajes ocultos en fotografías. Dichos mensajes, por supuesto, los podemos cifrar y enviar, por ejemplo, por WhatsApp.
Ocultación de información en Redes Sociales
Se han hecho estudios de cómo subir información oculta a través de imágenes a redes sociales. Sin embargo, no siempre se puede recuperar la información y a veces la clave de cifrado da error al intentar descifrar estos datos ocultos. Las pruebas han consistido en subir archivos a diferentes redes sociales, usando para ello diferentes programas y con diversos tamaños. Como resumen, los archivos de pequeño tamaño son los que mejor pueden ocultar información. También se puede usar la esteganografía a través de los memes de Twitter. las redes sociales abren un abanico inmenso a poder utilizar esta técnica para ocultar información.

Métodos anti-esteganografía

imagen
imagen
imagen
imagen
imagen

Como hemos comentado, para usar la esteganografía es necesario utilizar unos programas determinados, en función de nuestro SO. En algunos casos, hay que instalarlos y en otros casos se usan sin instalación, usando un USB para la ejecución del programa.  

La primera buena práctica que debería llevarse a cabo en las empresas sería disponer de un sistema de los trabajadores plataformado, es decir, solo se podrá ejecutar el software que los administradores definan y, por supuesto, los trabajadores de la empresa no podrán instalar el software que ellos consideren. También podemos vigilar la creación de las máquinas virtuales a través de las cuales podría escaparse alguna información.  

Una segunda buena práctica sería contar con un sistema DLP y/o IRM. Por un lado, el DLP impediría sacar información de nuestra corporación, así como activar USB no deseado. Por su parte, el IRM es una pieza fundamental, ya que cifra los ficheros y es posible realizar una trazabilidad de dónde, quién y cuándo abre esos documentos, pudiendo establecer permisos a los usuarios para el control de estos datos. En el caso de que un empleado deje la compañía, se daría de baja en el AD y dejaría de acceder a la información.  

Y por último, la tercera recomendación, que aunque es la más fácil de decir, en la práctica es la más difícil de realizar. Los empleados sólo deberían acceder a la información que les corresponde en función de su rol en la empresa. En este caso, los sistemas deberían vigilar que no se conecten ni usen recursos a los que no deberían tener acceso.

imagen
imagen
imagen

Muchos dispositivos conectados que se utilizan a día de hoy en el hogar no cuentan con las medidas de seguridad adecuadas, por tanto, ¿qué debe primar el avance tecnológico o la privacidad de los datos que recogen?

Cada vez son más los dispositivos conectados que utilizamos en nuestro día a día en casa, desde cafeteras o frigoríficos inteligentes hasta bombillas o robots de cocina o limpieza. Este auge ha llevado a plantearnos diferentes preguntas: ¿qué podremos esperar de la sensorización masiva y el incremento del Internet de las Cosas (IoT, por sus siglas en inglés) en el mundo residencial?, ¿a qué retos nos enfrentaremos en nuestra seguridad doméstica?, ¿cómo afectará a nuestra privacidad? Y quizá la pregunta más importante, ¿merece la pena asumir estos riesgos?

Para proteger y salvaguardar nuestra privacidad debemos comprender y barajar los peligros que conlleva su utilización en contraposición a las capacidades tecnológicas avanzadas que ofrecen. Es imprescindible que cada usuario encuentre su propio equilibrio.

imagen

Para las Cosas

83  |

La evolución del IoT

Si echamos la vista atrás, hace años nos conectábamos a Internet con un modem de 56kbps, el GPS era cosa de militares, el email se chequeaba únicamente desde ordenadores, todas las compras se realizaban en tiendas físicas, la batería del móvil duraba una semana y la domótica tenía un uso bastante restringido.

Hoy en día, en el ámbito doméstico, estamos dando nuestros primeros pasos en el IoT, por lo que el grado de inexperiencia es bastante serio. A pesar de ello, queremos disponer de casas inteligentes e hiperconectadas aunque, a veces, empleemos dispositivos 'low cost'. Varios fabricantes priorizan 'las funcionalidades' de sus artículos sobre la seguridad, por ejemplo, dispositivos sin capacidad de gestión y personalización, con configuraciones escritas 'a fuego', lo cual facilita el hackeo de este tipo de dispositivos. Otros, incluso con vulnerabilidades software detectadas, no permiten la actualización del firmware que podría corregirlas.

En estos últimos tiempos, el auge de ventas de los 'altavoces inteligentes' como asistentes virtuales, su combinación con nuevos gadget -como apertura de puertas, cámaras, termostatos y sensorizaciones domóticas- y los precios económicos de este tipo de dispositivos han hecho que muchas familias hayan priorizado las capacidades dejando a un lado el riesgo de sobreexposición que suponen. Aunque tanto Google como Amazon han reconocido que 'escuchan' un porcentaje de nuestras conversaciones privadas, estos dispositivos siguen en el top de ventas.

Con todos estos factores, se conforma un ecosistema bastante complejo de gestionar y de securizar, facilitando varios puntos de entrada a nuestras casas (y a nuestra información más valiosa), incluso 

permitiendo el 'enrolado' de nuestros dispositivos vulnerados en botnets, las cuales pueden participar en ataques DDOS. Entrando en asuntos más serios y legales, la asignación de responsabilidades es poco clara o está difusa entre fabricantes, prestadores de servicios y usuarios/clientes. Ahora bien, ¿son necesarios todos estos avances tecnológicos asociados al IoT en el ámbito del hogar? En mi opinión, sí, sin duda, pero con alguna restricción. La primera y más básica es mantener el derecho a nuestra privacidad, por encima de cualquier transformación y avance. Para comprobar y evidenciar lo simple que resulta ser vulnerable, puedes acceder a la web www.shodan.io e investigar mínimamente los riesgos de configuraciones inseguras (RDPs abiertos), usuarios y contraseñas genéricos (default password) y ausencia de actualizaciones de los dispositivos que usamos cotidianamente.

imagen

Aunque tanto Google como Amazon han reconocido que 'escuchan' un porcentaje de nuestras conversaciones privadas, estos dispositivos siguen en el top de ventas.

imagen

¿Qué nos espera en un futuro cercano?

En los próximos meses o años se desplegará la conexión 5G a lo largo del planeta, lo cual habilitará que el tremendo y gigante mundo M2M -MachineToMachine- sea capaz de transmitir información mucho más rápido (1 Gbps) y con una latencia mucho más baja (de 1 ms). Además, capacitará nuevos servicios que hoy parecen futuristas: replicaciones de movimientos entre humanos y robots o dispositivos, coches autónomos y realidad virtual y aumentada, entre otros aspectos.

En este sentido, los principales proveedores de cloud (Google, Amazon y Microsoft) ya están trabajando para adaptarse y estandarizar, a su modo, el IoT, incluso creando una nueva gama de dispositivos más seguros.



















En definitiva, debemos revisar y preocuparnos por los dispositivos que añadimos en nuestras casas: televisiones inteligentes, asistentes de voz, videocámaras IP, consolas y el resto de 'sensores'. Pero estos factores y/o riesgos, no deben ser una excusa para no avanzar y progresar, simplemente tenemos que hacerlo de manera racional y justificada. Y una última cuestión ,¿cuál es tu presupuesto doméstico para asuntos de ciberseguridad, IoT o cloud? Una recomendación: ¡auméntalo!  

imagen

85  |

imagen

Para las Cosas

imagen

El principal reto de la Industria X.0 es la transformación y adaptación de la conectividad de la red, los procedimientos operativos, la tecnología y la capacitación

El Internet Industrial de las cosas (IIoT) es la vanguardia de la convergencia de la tecnología operativa (OT) con las Tecnologías de la Información (IT). Esta convergencia comienza con la conectividad de la red, pero también requiere mejoras en los procedimientos operativos, la tecnología y la capacitación. Aquí radica el principal reto para Industria X.0, la transformación y adaptación de dichos procesos a través de la tecnología.

Además, cabe destacar que desde el punto de vista de la red, IT y OT utilizan diferentes protocolos. En el mundo OT, los proveedores han creado muchos protocolos propios en los últimos 50 años: MODBUS data de 1969; ABB tiene más de 20 protocolos. Por otro lado, los proveedores de IIoT ofrecen puertas de enlace para simplificar y transformar la información antes de que se mueva a la nube de TI para ser agregada y procesada. El volumen de datos puede ser enorme, por lo que las puertas de enlace IIoT utilizan compresión, adición e informes de excepciones para minimizar el tráfico de red.


Los procedimientos operativos difieren entre los entornos de IT y OT. Los principios de las redes OT son dos: seguridad y confiabilidad del servicio. Sin embargo, los principios de seguridad de la información de TI son la disponibilidad, la integridad y la confidencialidad de los datos.

Los procesos de ambos mundos convergen a medida que evolucionan.  Metodologías como DevOps nos permiten romper las barreras entre desarrollo y operaciones para conseguir un despliegue más rápido y eficiente de la nueva función, sin comprometer los controles que rigen la calidad del software.

Evolución de OT

En el reino de OT, las mejoras en el análisis de riesgos están impulsando la evolución del análisis de riesgos del proceso cibernético, como se muestra en la imagen. 

imagen
imagen

La evolución de OT muestra dos procesos: en la izquierda, en azul, se refiere al análisis de seguridad de activos en curso, que influye en el Programa de OT y el Modelo de Gobierno que está en el paso 5 a la derecha. A medida que surgen nuevas amenazas, los ingenieros actualizan el modelo que fluye hacia un nuevo estado más seguro y estable para el medio ambiente.

Las soluciones OT están evolucionando a medida que las tecnologías centrales ofrecen una mayor potencia de procesamiento, capacidad de almacenamiento, duración de la batería y conectividad de red. Los primeros protocolos de OT no tenían autenticación ni cifrado, y no podían aceptar actualizaciones de software y firmware de forma segura.

Los chips de procesador más nuevos pueden soportar estos requisitos, pero los proveedores de IIoT deben desarrollar estas capacidades, requiriendo bases de código más grandes para el desarrollo y algún mecanismo para emitir parches durante las operaciones. Los proveedores de IIoT aún no tienen experiencia en ejecutar programas de recompensas de errores, así que necesitarán alguna forma de obtener retroalimentación de sus clientes e investigadores para solucionar problemas, antes de que se vaya de las manos.

La capacitación significa más que  el aprendizaje  ad hoc, a medida  que  

se presenta la oportunidad. Las habilidades de seguridad de la información son alarmantes, y cada vez más las organizaciones deben proporcionar habilidades adicionales a su personal existente. Es posible que necesiten contar con apoyo externo para cerrar la brecha mientras esas nuevas habilidades se ponen en línea.

Sin embargo, el simple hecho de entregar la responsabilidad a un tercero no eliminará el riesgo: la organización en sí misma tendrá que mejorar sus procedimientos operativos para manejar los requisitos de parches y arreglos a tiempo, incorporando ciberseguridad en la fase de diseño. Delegar la responsabilidad no exime del riesgo y aquí técnicas como el parcheado virtual y la segmentación de red lo reducen drásticamente. También se minimiza la ventana de exposición ante ataques que explotan vulnerabilidades en los sistemas industriales.

Los primeros protocolos de OT no tenían autenticación ni cifrado, y no podían aceptar actualizaciones de software y firmware de forma segura. 

imagen
imagen
imagen
imagen
imagen

Hola Javier. Volvemos a vernos. Para ClickCiber fue un honor tenerte como invitado allá por septiembre de 2018, cuando viniste al primer programa de radio. Para nuestro primer número de la revista también te elegimos como maestro de ceremonias.

J.Z. Un placer para mí poder colaborar con vosotros en esta nueva aventura, muchas gracias.

C.C. Durante estos dos años, ¿qué cambio consideras más destacado en nuestro el sector de la Ciberseguridad?

J.Z. He notado dos. El primero, el considerable aumento en el interés del público en general sobre la ciberseguridad. El segundo, la amplísima oferta formativa sobre la materia. Con respecto al primero, actualmente es bastante frecuente que un medio de comunicación generalista aborde asuntos de ciberseguridad, algo que considero muy positivo, siempre y cuando no caigamos en un sensacionalismo monotema, que suele ser que tal o cual organización ha sufrido un ciberataque; creo que se puede hablar de muchas otras cosas. Con respecto al segundo, considero que hay sobreoferta de másteres y cursos expertos y, en cambio, no hay grados en universidades públicas salvo honrosas excepciones. Esto nos lleva al despiste del alumnado potencial y a la inevitable bajada de la calidad general de la enseñanza en esta materia. 

Entrevista a:
Javier Zubieta

imagen
imagen

C.C. ¿Cómo ha evolucionado GMV en la vertical de la Ciberseguridad en estos dos años?

J.Z. Proponiendo servicios innovadores a nuestros clientes y adaptándonos a las nuevas necesidades. Por ejemplo, nuestro Equipo de Inteligencia de Amenazas ha incrementado su actividad de una manera exponencial en los dos últimos años, así como nuestro CERT. Por otro lado, estamos desarrollando dos servicios, uno para la Agencia Europea del Espacio y otro para BMW, en la que la parte de ciberseguridad es enorme y son proyectos que por duración, envergadura y criticidad son todo un reto.

C.C. Una de las iniciativas por las que destacas es tu labor de divulgación. ¿Sigues considerando que esta faceta casi didáctica es necesaria por parte del sector? ¿No deberían asumir esta función los poderes públicos de forma más efectiva? 

J.Z. Creo que la labor de divulgación corresponde a todos los que nos dedicamos a esto, cada uno en la parcela en la que aporte más valor. Se trata más bien de una actitud, no de una encomienda, que tiene que tener una gran dosis de voluntarismo pero es muy gratificante. No obstante, opino que los organismos públicos que velan por la ciberseguridad en España ya realizan una labor de divulgación muy destacable de la que todos podemos aprender, aprovechar y complementar esas actividades. 

imagen
imagen

91  |

imagen

C.C. La industria española está en fase de concentración. ¿Consideras que el sector de la Ciberseguridad en España está aún demasiado atomizado?

J.Z. Totalmente atomizado y no solo en España, sino a nivel mundial. Puedo adivinar que dicha atomización tiene su origen en altísimo grado de especialización que se requiere en las distintas disciplinas de ciberseguridad a las que te puedes dedicar. Por ejemplo, un trabajo de reversing de código no tiene nada que ver con la definición de controles ISO27002 ni con un diagnóstico de vulnerabilidades en un entorno industrial. Además, en las zonas mundiales punteras de innovación en ciberseguridad se crean cada año un buen número de startups cuyas soluciones atacan un problema concreto, lo que favorece la atomización. Para ver un ejemplo de esto, se puede consultar la web de Momentum Partners (https://momentumpartners.no/) y acceder a sus informes para comprobar la inmensidad de empresas tecnológicas en ciberseguridad que hay ahora mismo al alcance de socios de inversión.

C.C. ¿Tienes pensado, y que puedas contarnos, alguna nueva iniciativa personal dentro de tu faceta divulgadora? 

J.Z. Tengo un especial interés por aportar mi granito de arena en la zona en la que vivo, con un alcance muy local, centrado en el cibertalento. Me hago preguntas del estilo ¿Cómo podríamos convencer a un chaval de 16-17 años de mi ciudad que se dedique a ciberseguridad en el futuro? O bien ¿Qué necesitaría un vecino, profesional en proceso de búsqueda de trabajo, para capacitarse en ciberseguridad y trabajar por la zona? 

C.C. Parece obligada la pregunta ligada a la actual situación mundial debido a la pandemia que sufrimos. ¿Cómo piensas que puede afectar a la adopción de soluciones de Ciberseguridad por parte de las organizaciones? 

J.Z. Esta moneda tiene dos caras. Una de ellas es el incremento de la necesidad de teletrabajo seguro o de vigilancia y monitorización de campañas de phishing o gestión de vulnerabilidades. En esos casos totalmente ligados a la situación actual se ha notado una mejoría sustancial con respecto a la situación anterior. Pero la otra cara de la moneda es la previsible contracción de inversiones y presupuestos ligados con ciberseguridad en los próximos meses, allí donde se siga considerando como un gasto, algo demasiado frecuente.

imagen
imagen

C.C. Es muy habitual entre los profesionales de la Ciberseguridad el contacto directo entre compradores y vendedores. De forma forzada ese contacto directo y físico ha sido suplantado por un contacto directo pero virtual. Esta nueva forma de comprar y vender, ¿crees que ha venido para quedarse más allá del Covid? 

J.Z. Tengo un cierto pesimismo sobre si vamos a ser capaces todos, tanto a nivel particular como colectivo, de aprender y asimilar de verdad las lecciones de esta situación y de aprovechar lo positivo que nos pueda estar dejando. Por ejemplo, el teletrabajo que estamos haciendo no es un teletrabajo real, porque nos tenemos que ocupar de trabajar, atender a los hijos y convivir todos en unas condiciones de confinamiento excepcionales. Yo no tengo tan claro que el teletrabajo en España se vaya a consolidar como una opción más y tampoco tengo tan claro que actividades que dependan tanto de la relación entre personas, como cerrar un acuerdo, las dotemos de la frialdad de lo virtual. Es muy probable que personas con una mentalidad opuesta a lo virtual se hayan dado cuenta que podrían estar equivocados en algo o en parte, pero no preveo "transformaciones radicales divinas" en esa forma de pensar. 

C.C. Finalmente, algún deseo en lo personal o en lo profesional para GMV. 

J.Z. Me encantaría que GMV fuera siempre la empresa humana que conozco, habiéndomelo demostrado en numerosas ocasiones.

imagen
imagen

Ingeniera de Telecomunicaciones (ETSIT Málaga) con un Master Executive en Big Data & Business Analytics en la EOI. Apasionada de la tecnología, desempeñando diferentes roles tanto en el desarrollo de estrategia de venta en canal como en cliente final. Con Espíritu Emprendedor.

imagen

Licenciado en informática por la Universidad Politécnica de Madrid Ha desarrollado su actividad en Unidad Editorial, PRISA y desde 2011 en VOCENTO, en calidad de CIO Es TOP 25 Influencers en Ciberseguridad en España.

CISO Global en multinacional del sector telco y CTO en Sec4all compañía dedicada al GRC, especialista en redes y seguridad con más de 15 años de experiencia en TI, apasionada de la protección de datos, la concienciación de usuarios y el XAMMP

Más de 20 años de experiencia en el mundo de las TIC y la Ciberseguridad. Pasando por todos los lados del negocio, cliente final (OHL, Fertiberia, Grupo Villar Mir), integrador de soluciones y fabricante. Desde enero de 2018 desempeña el rol de Director de Alianzas estratégicas en Trend Micro. Su reto actual, hacer entendible la ciberseguridad, sus riesgos, mejores prácticas y soluciones intentando hacer del mundo conectado un lugar mejor para vivir.

Ingeniero de Telecomunicaciones, master en gestión de empresas de Telecomunicaciones Politécnica Madrid, Master en Gestión de la seguridad Telefónica/Univ Alcalá  Apasionado de la tecnología y de los deportes cuando puedo. También me encanta dar clases y charlas sobre tecnología y seguridad  Actividad profesional: Telefónica e Ingecom S.L

imagen

Periodista por la Universidad Complutense de Madrid y máster en Periodismo de Datos por la Universidad Villanueva. Durante su trayectoria profesional, ha trabajado en distintos medios de comunicación, siempre ligada al mundo de la tecnología. Hace dos años dio el salto a la empresa, formando parte del Departamento de Marketing de Ingecom, lo que le ha permitido zambullirse en el apasionante mundo de la ciberseguridad. 

Más de 20 años de experiencia liderando áreas IT y Ciberseguridad, estudiante (perpetuo) de muchos sitios: ESIC, Cambridge y MIT, profesor, divulgador y Cibercooperante del Incibe. Explicar con lenguaje simple y humor es la mejor receta para reducir la brecha digital y transformar nuestra sociedad. He trabajado para Groupama, Telefonica, Atento, Avanza, Sec4all y otros grandes sitios.

Ingeniero de Telecomunicaciones, siempre dispuesto a aprender algo nuevo y un apasionado de la ciberseguridad. Desempeñando su actividad en diversas empresas del sector y con una amplia experiencia en diversos roles y tecnologías, este Cyber Security Ninja intenta hacer accesible y de un modo ameno la Seguridad TI.

15 años de experiencia en el mundo de la Seguridad de la Información como consultor, auditor y CISO en varios sectores como Telco, Banca, Defensa o Real Estate. Me gustan casi todas las áreas de la seguridad, pero últimamente me he centrado en la gestión de los Riesgos Globales y Gobierno de la Seguridad en grandes organizaciones. CISA, CISM, CGEIT, CRISC, ISO27001 LA

imagen

Ingeniero Superior de Telecomunicación por la Universidad Politécnica de Madrid.  Ha desempeñado su actividad profesional en el Ayuntamiento de Madrid, Telefónica e Ingecom. Desde 2018 dirige ClickCiber.

Ingeniera Superior de Telecomunicaciones, por la Escuela de Ingeniería de Bilbao. Master en Seguridad de la Información por la Universidad de Deusto y MBA Executive por el ESIC. Apasionada de la Ciberseguridad, lleva 20 años desempeñando distintos roles, en empresas tales como HP, Dimension Data o Forcepoint.

Ingeniero Técnico en Informática de Gestión por la Universidad Pontificia de Salamanca. MBA Executive por la Escuela Europea de negocios. Master Universitario en Ingeniería de Seguridad de la Información y las Comunicaciones por la UAX. 20 años de experiencia en TI y desde 2011 CTO/CISO en Branddocs.

Co-fundador de Correduidea y CiberenRed (Proyecto para la divulgación de la ciberseguridad en el sector asegurador). Coordinador del Área de Seguros de la Asociación Española Multisectorial de Microempresas y Cibercooperante de Incibe. Proactivo y acostumbrado a trabajar en escenarios cambiantes. Un profesional con una gran trayectoria en el sector asegurador de más de tres décadas, especialista en Innovación, Desarrollo, Dirección y Potenciación de Equipos, así como Redes Comerciales.

imagen
imagen
imagen