Seguridad – EnsuraGo

21/01/202121/01/2021

Cinco consideraciones sobre la amenaza interna a tener presente por los lideres de seguridad de las organizaciones

La amenaza interna es, desafortunadamente un problema latente en las organizaciones que aun no ha recibido la suficiente dedicación, para muchos lideres de seguridad la amenaza interna ni siquiera figura en la lista de prioridades.
Teniendo en cuenta lo que esta en juego y las capacidades para advertir señales o indicios que nos permitan prevenir algún tipo de amenaza a la seguridad. La amenaza interna es un fenómeno que los ejecutivos de seguridad no pueden darse el lujo de ignorar. Los lideres de seguridad de las organizaciones deben tener estas 5 consideraciones sobre la amenaza interna:

No subestimar las amenazas que podrían surgir internamente.

El delito cibernético se esta volviendo cada vez mas común y costoso, el numero de infracciones, violación de datos aumenta cada año e involucraron a actores internos.

Los empleados desconectados generalmente son antiguos.

Las organizaciones conocen que con cada nueva contratación existe un riesgo, a pesar de efectuar verificaciones de antecedentes, riesgo crediticio, periodos de prueba, etc. Sin embargo, estas acciones no son suficientes, con el tiempo surgen eventos en la vida personal de los empleados que pueden afectar su desempeño e integridad forzándolos a contemplar la posibilidad de poner en riesgo la empresa para su propio beneficio.

Los empleados desconectados exhiben señales de advertencia.

Las amenazas internas, adoptan patrones de comportamiento observables y relacionados con el estrés, manifestándose como un empleado menos presente, productivo, se aísla, cambios en su lenguaje corporal y verbal, etc.

La evaluación continua permite ver indicadores de riesgo de los empleados.

Las herramientas de evaluación continua alertan a los lideres de seguridad y RRHH sobre los empleados que exhiben señales de alerta y estas evaluaciones pueden ser personalizadas para detectar otros factores de interés que atenten contra la seguridad y las personas.

Detectar a tiempo comportamientos subestándares en los empleados permite identificar y mitigar amenazas.

Las señales de advertencia nunca deben de ignorarse, actuar en forma rápida permite que las áreas de seguridad y RRHH trabajen en forma coordinada para evitar que el problema se intensifique y lograr que RRHH pueda efectuar su labor con relación al clima laboral y bienestar de los empleados.

Las organizaciones tienen mucho que perder al pasar por alto la amenaza interna, sobre todo que hoy en día que existen herramientas que permiten conocer el comportamiento de los empleados en tiempo real. Aprovechar la evaluación temprana y continua para prevenir la amenaza interna es lo que los ejecutivos de seguridad deberían hacer para controlar las vulnerabilidades y el clima laboral.

08/01/202108/01/2021

Errores comunes al realizar un Análisis de Riesgos

Los Análisis de Riesgos son ejercicios muy importantes y eficientes para gestionar la seguridad en una organización, que nos mantienen preparados para las diversas situaciones de crisis que se pueden presentar. Sin embargo, es común la ocurrencia de situaciones negativas en las organizaciones o comunidades para que recién tomen acción para identificar, evaluar y gestionar los riesgos.

Es frecuente observar en las organizaciones diversos factores que condenan al fracaso la gestión de riesgos, lo que compromete la seguridad y la continuidad del negocio. Siendo los mas comunes los siguientes:

Compromiso, es indudable que es un factor muy importante donde toda la organización debe estar comprometida, desde la alta dirección hasta el empleado de menor jerarquía. Sin compromiso es imposible gestionar adecuadamente el riesgo y el modelo esta condenado al fracaso.
Liderazgo, el responsable del análisis de riesgo debe tener cualidades para trabajar en equipo, ser entusiasta, flexible, positivo y estar abierto a los cambios constantes que puedan presentarse sin que lo desvié del objetivo. Tener una solida experiencia y conocimientos académicos en análisis de riesgos es de suma importancia para el éxito de la gestión, frecuentemente las organizaciones no le dan la debida importancia a esta función, asignando esta responsabilidad en forma colateral o a una persona que no esta capacitada.
Equipos de trabajo, en oportunidades puede ser necesario contar con un equipo de analistas que sean receptivos, humildes, observadores, detallistas y orientados a los resultados, estas características de los miembros del equipo contribuirán al éxito de la gestión.
Metodología, existen varias metodologías probadas internacionalmente para el análisis de riesgos y estas pueden utilizarse con flexibilidad y márgenes razonables, sin embargo, el mejor método y mas eficiente es aquel que cumpla con las necesidades de la organización.
Copiar y pegar, uno de los errores mas frecuentes, utilizar documentos e informes de otras organizaciones y solo copian sin efectuar el análisis correspondiente, cada organización tiene su propia cultura, entorno, amenazas y vulnerabilidades, presentar resultados basados en realidades de terceros, el responsable se vuelve cómplice de las amenazas, puesto que tanto la evaluación como la gestión de los riesgos será errada con niveles de protección de los activos totalmente deficiente.
Resultado del análisis, muchas veces se da por sentado que los análisis de riesgos son permanentes, sin contemplar que para la realización de esta actividad están involucrados una serie de factores, cualquier cambio de estos obliga a efectuar un replanteo del informe lo que nos compromete a efectuar revisiones y actualizaciones en forma permanente.

Factores importantes como, la transparencia, ética, técnicas, normas, liderazgo, organización, conocimientos, control y compromiso debidamente incorporados en el análisis de riesgos agregaran valor a la gestión y ayudara a minimizar el riesgo y proteger los activos de la organización.

28/12/202028/12/2020

Fraude del CEO

Este tipo de fraude utiliza la ingeniería social y tiene como objetivo engañar a los empleados de una organización que tienen acceso a los recursos económicos, haciéndose pasar por el CEO que se encuentra en una situación comprometedora fuera de la organización para que paguen una factura falsa o efectúe una transferencia urgente desde la cuenta de la empresa.

Generalmente los estafadores efectúan lo siguiente:

El estafador llama o envía un correo electrónico haciéndose pasar por el CEO, director general, gerente general, etc. de la empresa.
El estafador conoce a la perfección como funciona la organización, procesos y autorizaciones y vulnerabilidades.
El estafador conoce que el CEO , director general, gerente general, etc. se encuentra fuera de la organización.
El estafador solicita que se efectúa un pago o transferencia urgente.
El estafador generalmente utiliza expresiones como Confidencialidad, en este momento no tengo acceso a internet o no estoy disponible, la empresa confía en ti, etc.
El estafador hace referencia a encontrarse en una situación delicada o culminando una adquisición importante para la empresa o proyecto.
El estafador le indica al empleado que el asunto es urgente y acelere u obvie los procedimientos de autorización normados.
El estafador puede hacerse pasar por una tercera persona que este involucrada en el proceso de autorización por via telefónica o correo electrónico, dando las instrucciones de como proceder en este caso.
El Empleado teniendo el supuesto requerimiento urgente del CEO, la llamada o correo electrónico con las instrucciones transfiere la cantidad solicitada a una cuenta controlada por el estafador.

Indicadores de alerta en este tipo de fraude:

Llamada telefónica o correo electrónico inusual y no solicitado.
Comunicación con un alto funcionario de la organización que por los procesos establecidos u organización normalmente no se interactúa.
Demanda confidencialidad y urgencia.
Efectúa presion y requiere una pronta solución.
Solicitud que no cumple con los procedimientos internos
Coacción a quien recibe la llamada o destinatario del correo electronico haciéndolo responsable del perjuicio hacia la persona o empresa por no efectuar lo solicitado, vocabulario adulador con promesas de recompensa como aumento de sueldo, ascenso, etc.

26/11/202026/11/2020

Evolución de los ataques de ransomware

Hoy en día los ataques de ransomware vienen evolucionando, cambiando la modalidad de ataques generalizados por ataques selectivos contra organizaciones y sectores concretos. En esta modalidad los atacantes amenazan con cifrar los datos y además publicar en línea toda la información confidencial, sino se atienden sus demandas del pago dentro del plazo indicado del rescate por la información.

Los ataques de ransomware son unos de los tipos de amenazas graves que enfrentan las organizaciones puesto que, no solo pueden interrumpir las operaciones comerciales, sino que también pueden provocar considerables perdidas financieras y en algunos casos multas y juicios como resultado de violación de las normas y regulaciones. Estos nuevos ataques de extorsión utilizan las conocidas familias de ransomware Ragnar Locker y Egregor con ataques selectivos y adaptados a cada victima. Si la organización se niega a pagar el rescate sus datos confidenciales son publicados, si la victima acuerda con los ciberdelincuentes efectuar el pago y no lo hace también publican la conversación.

Los principales objetivos de Ragna Locker son empresas estadunidenses que desde julio se unió a la familia de ransomware Maze con la finalidad de compartir información robada. Por otro lado, Egregor descubierto en setiembre utiliza tácticas parecidas y comparte similitudes de código con Maze.

Egregor tiene un radio de ataque mas extenso como objetivo América del Norte, Europa y determinadas áreas de Asia-Pacifico, se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, de lo indican un plazo de 72 horas para efectuar el pago por el rescate de lo contrario la información se hará publica.

Las organizaciones deben aplicar buenas practicas de ciberseguridad con la finalidad de prevenir o identificar el ataque antes que se alcance el objetivo final, puesto que cuando el ransomware se despliega, el atacante ya ha reconocido la red, identificado y filtrado la información confidencial.

Algunas Recomendaciones:

No exponga los servicios de escritorio remoto a redes publicar y utilice contraseñas robustas.
Mantenga el software actualizado en todos los dispositivos que se utilicen.
Tenga especial atención con los archivos adjuntos de los correos electrónicos.
Utilice soluciones de identificación temprana para detener el ataque.
Implemente una estrategia de defensa, detección de movimientos y filtración de datos a internet, trafico saliente, efectúe copias de seguridad periódicas.
Capacite y comprometa a todo el personal de su organización.
Utilice soluciones de seguridad para endpoint, prevención de exploits, detección de comportamientos y motor de remediación para hacer retroceder las acciones maliciosas.
Ponga especial atención a los empleados remotos que actúen como puerta de entrada a la red.

13/11/2020

Capacitación, la clave para combatir los ataques cibernéticos

La mejor estrategia para combatir el cibercrimen es tener empleados capacitados. Es fundamental que todos entiendan las amenazas de seguridad, l mentalidad de los ciberdelincuentes para poder defenderse en forma efectiva contra los ataques.

Las organizaciones enfrentan enormes desafíos de ciberseguridad, perdiendo mucho dinero anualmente debido a la violación de datos. Hay que tomar en cuenta que la seguridad cibernética es muy complicada y los atacantes muy creativos, se adaptan rápidamente para poder eludir las defensas. Es una tendencia marcada el crecimiento exponencial del cibercrimen en todo el mundo.

En el intento para controlar las perdidas, las empresas invierten significativamente mas recursos en seguridad informática en forma reactiva, enfocando su tiempo y recursos en tratar de evitar que sus vulnerabilidades sean explotadas, en lugar de evitar que estas existan, tratándolas proactivamente, estrategia real y efectiva que nos ayudara a ganar la carrera contra el cibercrimen.

Se estima que el 90% de las organizaciones consideran que la ciberseguridad es una idea de ultimo momento y sus estrategias de control se centran en remediar si se producen estos ataques en lugar de prevenirlos. Esta mala estrategia causa enormes perdidas, implicando inactividad del sistema, daños a la marca, perdida de confianza de los clientes, así como costos por responsabilidad.

Falta de comprensión y compromiso.

Un obstáculo para adoptar un enfoque proactivo en la seguridad de la información es la falta de capacitación y compromiso por parte de los miembros de la organización, esto se evidencia debido a que los tipos de vulnerabilidades y ataques con algunas variantes son en gran medida los mismos y repetitivos. Esta claro que existe una falta de capacitación tanto del personal de seguridad como para los usuarios en general.

Es prioritario que las organizaciones cuenten con una política efectiva de seguridad de la información, con personal bien capacitado, de igual manera las áreas de RRHH y Seguridad deben poner atención a la amenaza interna verificando al personal.

19/10/202023/03/2021

Como se aplica el ciclo de inteligencia en el terrorismo yihadista y la necesidad del uso de inteligencia frente a este fenómeno

Se define el ciclo de inteligencia como la Secuencia de actividades mediante las que se obtiene información que se convierte en conocimiento (inteligencia) que se pone a disposición de un usuario.

No existe consenso en cuanto a las fases que lo integran, encontrando:
– CIA, 5 fases: dirección, recolección, procesamiento, producción y diseminación.

En la comunidad de inteligencia norteamericana las fases del ciclo reciben otro nombre, y se distingue la fase de obtención de la de procesamiento, por lo que son cinco etapas. La inteligencia militar norteamericana incluye dos fases más: el feedback de los protagonistas de cada fase y la evaluación del conjunto del proceso.
– OTAN, 4 fases: dirección, recolección, procesamiento y diseminación.
– CNI, 4 fases: dirección, obtención, elaboración y difusión.

El ciclo de inteligencia es útil con precauciones a la hora de representar de manera ideal la inteligencia como proceso, a menudo los modelos, tienen la ventaja hacer fácilmente comprensible un fenómeno complejo, pero también el inconveniente de simplificar en exceso la realidad.

Según el modelo ideal, el proceso de inteligencia sigue cuatro etapas:

Dirección. Los destinatarios de la inteligencia plantean una serie de demandas al responsable del servicio de inteligencia. Dependiendo del tipo de inteligencia esos destinatarios pueden ser decisores políticos, altos mandos militares, responsables policiales de alto nivel, etc. Por falta de tiempo, de interés o de saturación de su propia agenda, los decisores políticos no siempre señalan objetivos claros, específicos y continuos para que los responsables de los servicios de inteligencia continúen el ciclo. Con bastante frecuencia las fuerzas del orden asumen que los servicios de inteligencia les avisarán de los problemas antes de que sucedan, o que éstos complementarán a través de sus propias fuentes y análisis las noticias que acaparan las portadas de los medios de comunicación.
Obtención. Quienes trabajan en la fase de obtención buscan y recopilan información a través de diversos medios, una vez procesada, esa información se entrega a los analistas. El desarrollo de sistemas de obtención requiere tiempo, por lo tanto, es indispensable orientar permanentemente el esfuerzo de búsqueda.
Elaboración. Los analistas evalúan, analizan, integran e interpretan la información recibida. El conocimiento que se genera a partir de ella se plasma en diversos formatos de entrega de inteligencia. Los analistas no dependen en todos los casos de la información que les llega desde las unidades de obtención. Muchas veces pueden preparar un informe a partir de bases de datos alimentadas durante años. Cuando llega nueva información es puesta en perspectiva con información y análisis previos. Al mismo tiempo, en caso de surgir contradicciones o de crearse nuevas necesidades informativas, los analistas pueden solicitar a los órganos de Obtención nuevas informaciones sin necesidad de trasladar su análisis al decisor político para que éste a su vez planté una nueva demanda.
Difusión. La inteligencia como producto es entregada a los destinatarios, que pueden pedir aclaraciones sobre la inteligencia recibida o solicitar nuevas demandas, activando de nuevo el ciclo. Además de los análisis que según el ciclo ideal se transmiten al destinatario en la fase de Difusión, en situaciones de crisis la información de origen, puede llegar a manos de los consumidores sin pasar antes por los analistas. Esta opción plantea inconvenientes debido a la falta de evaluación e integración de la información, pero puede ser oportuna para los responsables en base a las circunstancias. Por otra parte, no todos los análisis preparados en la fase de Elaboración llegan a los consumidores. Por último, cabe esperar que la inteligencia una vez difundida, sea considerada en la toma de decisiones.

La Inteligencia es un elemento clave en la lucha antiterrorista, sin embargo, en el caso del terrorismo yihadista que actúa en Europa y Estados Unidos, su importancia es aún mayor, ya que los yihadistas articulan la presencia de amplias comunidades islámicas, en su mayoría de procedencia inmigrante, para pasar desapercibidos y reclutar nuevos simpatizantes. Los yihadistas adaptan su modus operandi a las condiciones de seguridad de los países en los que actúan, prueba de ello es el aumento de terroristas que actúan en solitario, así como el uso de vehículos o armas blancas y de fuego en lugar de bombas, reviste importancia también su vinculación con el crimen organizado.

En dicho contexto las actividades antiterroristas deben contar con una inteligencia de calidad que les permita discernir con precisión entre la ínfima minoría de radicales y la inmensa mayoría de pacíficos creyentes, siendo la Obtención la etapa más relevante en la cual se utilizan diversos sistemas de captación de información a través de imágenes (IMINT), trazado de señales electrónicas (SIGINT), explotación de fuentes abiertas (OSINT), fuentes humanas (HUMINT). En esta etapa se aplican los avances tecnológicos junto a las fuentes humanas.

Inteligencia de Imágenes (IMINT) y de Firmas (MASINT)

Imágenes ópticas: obtenidas a través de aviones de reconocimiento tripulados y no tripulados (Unmanned Aerial Vehicle, UAV/Remotte Control Vehicle, RPV, o en el lenguaje coloquial, drones), satélites de observación terrestre a relativa baja altura (200-1.000 km), imágenes de costa o de otros buques obtenidas de manera discreta por submarinos, etc.
Imágenes infrarrojas (IR), que permiten la observación nocturna y la detección de fuentes de calor, como personas o motores.
Captación de otro tipo de radiaciones (MASINT), algunas visibles y otras no, pero que permiten obtener información relevante. Un medio por ejemplo son los satélites radar, los sistemas de detección de explosiones nucleares o los sistemas de escucha submarina. Algunas clasificaciones también incluyen, justificadamente, las imágenes infrarrojas en el MASINT.
Ambos tipos de fuentes (IMINT y MASINT, más otras disciplinas como la topografía y la geodesia, nutren la inteligencia Geoespacial (GEOINT) dedicada a obtener, procesar y explotar información relacionada con la actividad humana sobre la Tierra.

Ventajas:

Una gran cantidad de objetivos son observables a través de estos medios (campos de entrenamiento, ejercicios militares, bases, etc.)
Las imágenes tienen una gran fuerza sobre el decisor político y el público en general.
En la mayoría de las ocasiones pueden obtenerse a distancia, sin riesgo para los recursos humanos que desempeñan esa tarea. Una tendencia al alza por los avances en materia de drones.
Posibilidad de transmitir las imágenes en tiempo real.
Son de gran utilidad para algunos tipos de inteligencia (como, por ejemplo, asuntos militares) pero no tanto en otras áreas.
En algunos casos (cuando se combinan con datos de elevación) las imágenes aéreas pueden ser utilizadas para crear simulaciones tridimensionales y ensayar operaciones militares o clandestinas sobre un escenario real. El propio Google Earth ofrece un rudimentario simulador de vuelo que utiliza este tipo de información.

Limitaciones:

Al igual que sucede con los otros tipos de fuentes, necesitan ser complementadas con otros sistemas de obtención. Por ejemplo, pueden ofrecer una imagen nítida de una fábrica, pero desconocerse para qué se utiliza. El IMINT permite ver ‘cosas’ pero no siempre captar su significado.
De este modo, la aparente fuerza de las evidencias obtenidas por IMINT constituye al mismo tiempo una debilidad. Puede darse demasiada verosimilitud a la inteligencia respaldada por IMINT, desechando de forma apresurada informaciones que la contradigan y basando en ella decisiones mal informadas.
Todavía no son útiles para identificar a personas individuales, aunque serán capaces de hacerlo en pocos años.
Las imágenes necesitan la interpretación de técnicos que ven detalles que escapan al personal no entrenado. Esto obliga a que los analistas, los decisores políticos y, en casos excepcionales, la opinión pública, dependan de la opinión de esos expertos.
Coste muy elevado de adquisición y mantenimiento.

Inteligencia de señales (SIGINT)

Captación de comunicaciones emitidas a través de diversos medios: radio, teléfonos, fax, internet. Es también conocida como COMINT.
Captación de señales electrónicas (ELINT), que no impliquen comunicación pero que sean relevantes para la inteligencia (por ejemplo, emisiones de radar o sonar).
Los medios de obtención de SIGINT son muy variados: satélites, aviones, buques, estaciones de tierra, etc.
Aunque en las taxonomías clásicas no se incluye como SIGINT, la ciber-obtención (más conocido como ciber-espionaje) es un sistema en auge por motivos obvios. La dependencia cada vez mayor en los sistemas informáticos a la hora de almacenar, gestionar y trabajar con información; y las ventajas que ofrece esta posibilidad para un servicio: obtener grandes cantidades de información sensible que impresas tendrían que ser transportadas en camiones de manera discreta, a distancia y muchas veces instantánea.

Ventajas:

La interceptación de las comunicaciones personales permite conocer las ideas, planes, intenciones y características de los objetivos humanos.
En el terreno militar, permite establecer el orden de batalla electrónico del adversario. Es decir, los medios de que dispone, su organización y localización. También advertir cambios en pautas establecidas que alerten por ejemplo de un incremento de su actividad.
Es una información que se obtiene la mayoría de veces a distancia, con escasos riesgos personales

Limitaciones:

Para que funcione, el objetivo humano ha de comunicarse a través de sistemas electrónicos. Si renuncia a ellos, la obtención por SIGINT resulta estéril.
En una línea similar, los objetivos de la inteligencia pueden seguir una férrea y exitosa práctica de control de emisiones (EMCON, en sus siglas inglesas) que dificulte seriamente su seguimiento. Puede ir desde el conocido silencio radio o de radar, hasta emplear líneas de comunicación terrestre.
Como ya se ha señalado anteriormente, la SIGINT genera un volumen abrumador de información, prácticamente imposible de procesar en su totalidad y menos aún en tiempo preciso, a no ser que se focalice de manera muy detallada la búsqueda (por ejemplo, interceptando un determinado número de teléfono o una cuenta de correo concreta).
En algunos casos las comunicaciones pueden estar fuertemente cifradas, lo cual obliga a recurrir a otro género propio de la inteligencia que consiste en obtener o descifrar los códigos del adversario.
Igualmente se puede sortear, mediante otras técnicas: cambio frecuente de tarjetas de teléfono móvil prepago, empleo de cibercafés, comunicaciones a través de chats en foros inopinados (de contactos o de videojuegos) utilizando un código preestablecido, etc.
Es frecuente que las comunicaciones deban ser traducidas al idioma de los analistas, lo cual requiere contar con traductores suficientes y acreditados para poder procesar las informaciones captadas.
Vulnera el derecho a la privacidad de los ciudadanos, por lo que en los sistemas democráticos el empleo de estos medios se encuentra sujetos a las limitaciones legales
Al igual que sucede con el IMINT, los sistemas de SIGINT entrañan un coste muy elevado.

Inteligencia de fuentes abiertas (OSINT)

Medios de comunicación. Muchas veces los medios ofrecen información en tiempo real o análisis en profundidad sobre asuntos de interés para la inteligencia. En algunos casos también pueden ofrecer IMINT a través de fotos o tomas de televisión.
Datos públicos. Informes de gobiernos o de organismos internacionales (FMI, OCDE, por ejemplo), bases estadísticas, debates legislativos, discursos, etc.
Consulta directa a profesionales, académicos; asistencia a cursos o seminarios; o lectura de publicaciones académicas especializadas a través de suscripciones, consulta de foros públicos o internet.
Con respecto al apartado anterior, son reseñables los servicios de inteligencia privados. Empresas de seguridad que proporcionan no sólo información, sino también su propia inteligencia.
También se incluyen en esta categoría las imágenes de satélites civiles de Digital Globe, Google Earth, etc.
Igualmente forma parte de las fuentes abiertas, aunque cada vez más tiende a convertirse en un subgénero propio (SOCMINT), la información que las personas publican en sus perfiles personales de redes sociales (Facebook, Twitter, LinkedIn, YouTube, etc.), las relaciones que mantienen, su geolocalización, etc.

Ventajas:

Accesibilidad y validez para muchos de los asuntos de inteligencia.
Dada su diversidad es más difícil que sea manipulada por otros. Aunque parezca paradójico, en muchos casos es más fiable que las fuentes reservadas
Muchas veces puede ser la primera etapa de un proceso de obtención.

Limitaciones:

Al igual que sucede con la SIGINT genera un enorme problema de volumen y en la mayor parte de los casos, los servicios no cuentan con un organismo especializado para la obtención y procesamiento de este tipo de información. Como consecuencia, es el mismo analista quien en principio debe hacer la búsqueda, discriminar y procesar este tipo de fuentes, y la carencia de tiempo no siempre lo permite.
En la mayor parte de los casos debe ser complementada con información procedente de fuentes de carácter reservado, pues la opacidad de determinados temas de interés hace que queden fuera de la información abierta (por ejemplo, proliferación de armas de destrucción masiva, composición real de un grupo terrorista, etc.). Las fuentes abiertas sobre este tipo de cuestiones deben analizarse con extrema precaución antes de se consideren fiables.
Por este último motivo, la OSINT despierta todavía recelos institucionales en algunas agencias de inteligencia (al menos, en las norteamericanas). Y a ello se añaden suspicacias corporativas, pues un énfasis excesivo en fuentes abiertas cuestiona la utilidad de las fuentes propias de los servicios.
La OSINT no es tan caro como otros sistemas, pero tampoco es gratis ni económico. La suscripción corporativa anual a una revista académica especializada en Relaciones Internacionales o Estudios Estratégicos suele costar varios miles de euros. Si hablamos de decenas de revistas y del contrato de servicios de gestión de medios de comunicación la factura final puede acabar siendo elevada.

Inteligencia humana (HUMINT), en la lucha contra el terrorismo yihadista, destacan tres medios de particular interés:

Agentes o colaboradores infiltrados

Una primera fuente de inteligencia humana son los infiltrados, agentes o colaboradores de los servicios de información policiales o de los servicios de inteligencia estratégica que logran penetrar en la estructura interna de un grupo terrorista. Para ello deben simular que comparten las convicciones radicales del resto de miembros del grupo y, con frecuencia, pertenecer a una etnia de origen similar a la de los otros integrantes.

Las ventajas de los infiltrados son evidentes. Por su situación dentro de los círculos internos del grupo pueden tener acceso a información crítica que permita anticiparse a los terroristas.

Sin embargo, los obstáculos con los que se encuentra este sistema de HUMINT son considerables. Por un lado, resultan precisas elevadas dosis de valor a la hora de desempeñar un papel que en caso de descubrirse puede poner en peligro la vida del interesado. Al mismo tiempo el infiltrado debe de pasar los controles de seguridad de los yihadistas, que en la medida de sus posibilidades intentarán recabar referencias sobre el nuevo candidato al grupo. En casos extremos el infiltrado también puede ser invitado a participar en actividades delictivas en beneficio del grupo y que, de alguna manera, permitan a los líderes de la red poner a prueba el compromiso del aspirante.

Informadores periféricos

Se trata de colaboradores habituales de los servicios de información policiales o de inteligencia que por su presencia en determinados ambientes pueden recabar informaciones relativas a los grupos yihadistas.

Como su nombre lo indica, no se trata de infiltrados y por ello, difícilmente pueden llegar a conocer aspectos altamente sensibles de los planes y actividades de un grupo yihadista. No obstante, este tipo de informadores puede ser de gran utilidad a la hora de descubrir la existencia de una red yihadista, al situar a determinados individuos como integrantes o simpatizantes de la misma.

Como ya señalamos en un análisis anterior, las células locales y las redes de base yihadistas se ven obligadas a relacionarse con la sociedad donde actúan con fines de captación de recursos humanos y materiales.

De este modo, la presencia de informadores periféricos en esos ambientes puede permitir la detección y la acción preventiva sobre redes yihadistas, su existencia también puede generar psicosis de vigilancia y paranoia que auto limite a los yihadistas a la hora de captar recursos en dichos entornos, de modo que se reduzca la operatividad y peligrosidad del grupo.

Sin embargo, los informadores periféricos también tienen sus puntos débiles. Al tratarse de fuentes humanas, la información que transmiten puede estar contaminada por juicios subjetivos que reduzcan o, por el contrario, aumenten desproporcionadamente su entidad real. En algunos casos esa alteración puede darse de manera consciente con el fin de ganar prestigio e interés ante los ojos del agente que los controla y aumentar así la recompensa que reciben a cambio de la información.

Colaboración ciudadana

Resulta interesante a la hora de detectar redes o individuos vinculados al yihadismo. Las informaciones espontáneas y puntuales que proporcionen ciudadanos corrientes que asisten a una determinada sala de oración, propietarios de comercios, etc., pueden convertirse en una primera señal de alarma que ayude a dirigir otros sistemas de obtención de información en la dirección adecuada. Muchos de los atentados fueron coordinados o dirigidos por militantes extranjeros en Siria o Irak. Por eso, la clave está en la vigilancia. Hay que ser capaz de prever qué individuos pueden suponer una amenaza.

14/10/202019/10/2020

Perfil del Terrorista Yihadista, Radicalización, Lobo Solitario

Existen cifras relevantes para entender la magnitud de uno de los desafíos a la seguridad más grandes, el desarrollo de más ataques terroristas por yihadistas convertidos con diferentes tendencias que según la evidencia los terroristas europeos, a diferencia de sus contrapartes en África del Norte y Medio Oriente, suelen contar con antecedentes penales.

Este dato sugiere que un criminal convertido en yihadista tiene más posibilidades de aprovisionarse con armamento, gracias a contactos en redes de traficantes. Además, dado que el yihadismo ofrece martirio como una forma de redención, individuos radicalizados tienen motivación para perpetrar ataques, incluso a costa de perder sus propias vidas. Los reportes indican que muchos de los yihadistas europeos radicalizados tienen antecedentes penales. En este sentido, análogamente a las redes criminales, los círculos extremistas estarían reclutando en entornos sociales cerrados, aprovechando los vínculos personales de los miembros que ya están comprometidos con la causa. Para ello la narrativa yihadista apela a las necesidades personales de los criminales, confiriendo, a través de la ideología, licencia o legitimidad para cometer más crímenes en nombre de una misión trascendental, y que paradójicamente los exonera de todo mal pasado. Ofrecen un sentido de propósito y dirección, redirigiendo las acciones criminales mediante una ideología mimetizada con la religión.

Sobre la relación entre el crimen y terrorismo islámico, el 40% de los actos terroristas en Europa se financian parcialmente con delitos menores, como la venta de drogas, hurtos, y la compraventa de bienes robados. De este modo, los yihadistas que provienen de la criminalidad hacen lo que mejor saben hacer, solo que para un propósito más siniestro siendo las prisiones el caldo de cultivo para yihadistas. La apologia es fácil de predicar entre jóvenes enojados haciendo amplio uso del internet formando vínculos interpersonales que luego pueden transferirse de par en par dentro y fuera de la cárcel. Es factible que un yihadista con antecedentes criminales cuente con experiencia para llevar a cabo actos terroristas con mayor probabilidad si ya ha estado involucrado en incidentes violentos. Por otro lado, un yihadista en potencia podría saber dónde y cómo conseguir armas de antemano y cómo adaptarse para mantener un perfil bajo. Sin embargo dado que el acceso a las armas están restringidas, los manuales Yihadistas contemplan la utilización de cualquier medio para causar terror como vehículos, armas blancas, incendios, etc.

Los españoles yihadistas son en su mayor parte individuos de ascendencia magrebí, y que por regla general disponen de vínculos con células tanto en Europa como en África del Norte y Medio Oriente y muchos individuos financiaban sus actividades mediante el tráfico de drogas a pequeña escala, y otros delitos de poca envergadura. los vínculos personales representan el principal vehículo para la radicalización que en definitiva los individuos radicalizados buscan llenar un vacío existencial que el islam integrista sabe explotar, ofreciendo recompensas materiales como intangibles espirituales. Los yihadistas medio orientales y africanos tienden a no tener antecedentes penales, no es común que los terroristas provengan de un entorno criminal reducido o que hayan cometido delitos previos a su involucramiento con causas radicales. Un numero considerable de terroristas tienen educación superior y algún tipo de experiencia profesional en carreras técnicas o científicas, con títulos en ingeniería, matemática y medicina. En comparación, muy pocos hicieron estudios islámicos y menos aún humanitarios.

El aislamiento, la frustración laboral, social y política de los jóvenes es un caldo de cultivo para ser reclutado. Sin embargo, Internet es la herramienta principal de captación, propaganda, proselitismo y radicalización del yihadismo en Europa. Los terroristas consultan páginas extremistas donde tienen acceso a libros sobre la yihad, vídeos violentos o manuales sobre la fabricación de bombas, el terrorismo yihadista no requiere de una estructura de corte jerarquizado, funcionando principalmente a través de estructuras en red compuesto por individuos y grupos afines ideológicamente repartidos por todo el mundo difundiendo mensajes a través de Internet para impulsar las actividades de los diferentes grupos adscritos al islamismo radical, a la vez que reclutar y movilizar a nuevos adeptos. Como vemos, la evolución de las nuevas tecnologías, aplicaciones móviles y demás herramientas virtuales generan constantemente nuevas oportunidades en las redes, existiendo evidencias que muestran que el Daesh ha ido incrementando exponencialmente su apuesta por el uso de Internet con fines de radicalización e inspiración de atentados. Asimismo es posible constatar cómo ha aumentado significativamente la cantidad de material, propaganda e informaciones radicales disponibles y fácilmente accesibles en el ciberespacio, así como el número de personas que acceden a estos contenidos y los utilizan. Las fases de radicalización y de reclutamiento son independientes entre sí, manteniendo las siguientes etapas:

Etapa de identificación: Se persigue el impacto emotivo-afectivo agradable del usuario. No basta con navegar por un entorno virtual yihadista, pues el sujeto debe mostrar predisposición a la doctrina para pasar a la siguiente fase.
Etapa de captación: El usuario de la red es puesto a prueba por los administradores o encargados del sitio web, red social, foro o lugar virtual en cuestión, con el objetivo de comprobar la fidelidad de su ideología y su disposición.
Etapa de radicalización: La relación comienza a ser bidireccional. La adhesión a la ideología radical ha de ser inquebrantable, por eso se establecen compromisos mutuos tales como manifestaciones por escrito o pequeñas acciones de ayuda a la yihad. El fin último es la asunción de la nueva identidad.
Etapa de fidelización: Requiere esencialmente la inversión de tiempo. La persona captada ha de demostrar que ha interiorizado los valores del radicalismo pertinente como propios, haciendo de ellos su modo y objetivo de vida. En este punto puede considerarse como parte de la célula. En dicha etapa, el sujeto ya profesa la ideología radical, de modo que a efectos de investigación y/o prevención es susceptible de cometer actos violentos y justificarlos en nombre de su creencia.
Etapa de acción: La intención se demuestra con la comisión de los actos acordados.

Aunque no sea posible establecer un perfil típico de combatiente extranjero, existen rasgos comunes entre los que destacan que los foreign fighters son por lo general hombres musulmanes de entre 18 y 35 años, recién convertidos al Islam de segunda o tercera generación en un país occidental que tras los atentados terroristas, EEUU y Europa han sido catalogados, provocando que se cree un sentimiento de decepción hacia occidente siendo su motivación es mas personal que política. La mayoría de combatientes acumula antecedentes personales y la minoría tiene problemas psicológicos.

Una vez que el combatiente es reclutado en prisiones o lugares de culto, las mujeres y familia lo acompañan para formar parte del califato islámico y una vez allí reciben un salario por combatiente, por las mujeres y los hijos. Los prototipos de retornados pueden dividirse en tres grupos, los retornados operacionales que vuelven a sus países de origen para perpetrar atentados terroristas y reclutar a mas personas, los retornados desunidos que siguen siendo fieles al yihadismo y su causa han tenido que luchar contra yihadistas rivales y el tercer grupo que retornan por decepción, sentimiento de engaño y arrepentimiento. Al no ser sospechosos, logran pasar los controles.

El Daesh ha convertido en punta de lanza a individuos que al no ser sospechosos, logran pasar bajo la mirada de los servicios policiales, los lobos solitarios operan individualmente o en pequeños grupos y son protagonistas de una de las principales amenazas terroristas en occidente como el muchacho que se hizo estallar en Ansbach Alemania, los atentados en San Bernardino California, Orlando Florida, Niza Francia y Wurzburgo Alemania. Ni el mejor servicio secreto del mundo es capaz de desarticular el accionar de un lobo solitario y son prácticamente invisibles por lo que es preciso estar atentos a otro tipo de información, indicios sobre el comportamiento de sospechosos por ejemplo Mateen y Lahouaiej tenían antecedentes de violencia contra las mujeres, el asesino de Orlando comento a sus compañeros de trabajo sus ansias de matar y su odio a los homosexuales.

Los perfiles psicológicos de los lobos solitarios que atacaron en Orlando y Niza muestran a personas con desequilibrios psicológicos sobre todo relacionados con serios problemas para controlar la agresividad y los arrebatos de ira, eran violentos, maltrataban a sus esposas y habían tenido problemas con drogas. El Daesh dirige su propaganda a individuos perturbados y fascinados con la violencia extrema y se aprovecha de las frustraciones, auto odio y aspiración al suicidio, es importante señalar que para esta agrupación terrorista yihadista, los lobos solitarios se han convertido en un arma fundamental en su ofensiva contra occidente, logrando atentados exitosos sin mayor esfuerzo, la acción de estos terroristas le permite mantenerse en el primer puesto de la amenaza global. Así mismo el Daesh cuenta con un equipo de especialistas que gestionan cientos de cuentas de twitter y canales telegram que intentan convencer a individuos en occidente para que perpetren ataque en sus países, incluso los disuaden de ir a Siria e Irak con mensajes La menor acción que tu hagas en tu país es mejor y mas beneficiosa para nosotros que lo que harías estando aquí.

Abú Bakr Al Baghdadi, el líder del Estado Islámico ha entendido que si llama al terror el terror viene. Por eso, con esas personas no necesita ningún contacto directo. Su mensaje, que es muy persuasivo basta», dice Riedel. Además, cuando se produce uno de esos ataques, su agencia de noticias, Amaq, se lo atribuye. Días más tarde, en sus revistas de propaganda, como Dabiq, en inglés, los yihadistas hacen reportajes de esos individuos. Así lo hicieron con el terrorista de Orlando y con el matrimonio de San Bernardino.

Otra característica de los lobos solitarios es que no usan la vestimenta tradicional sino visten poleras con motivos occidentales. Tampoco se restringen para beber alcohol e ir a discotecas a conocer mujeres. No rezan el Corán varias veces al día e incluso algunos practican el islam desde apenas unos meses. Se trata de los nuevos yihadistas millennial’s, aquellos jóvenes entre 18 y 35 años que han perpetrado ataques en Francia, Reino Unido, Bélgica, España y otros lugares.

Este fue el caso de Hasna Boulahcen, la joven de 26 años que se inmoló en el barrio parisino de Saint-Denis con un cinturón de explosivos, en noviembre de 2015. Según la revista española Semanal XL, sólo había utilizado el velo islámico apenas unas semanas. Incluso fumaba, bebía cerveza, había tenido varios novios y se tomaba selfies medio desnuda en la tina de baño. También le gustaba ir a fiestas y todo el día estaba pendiente de Facebook y de WhatsApp.

Lo mismo ocurrió con Mohammed Emwazi, conocido como “John el yihadista”, cuya función de verdugo del Daesh capturó la atención mundial. En un artículo del diario The Times, el periodista Robert Verkaik explicó que el joven londinense, que murió en noviembre de 2015, tuvo una vida bastante normal. Creció en Maida Vale, un pudiente barrio del noroeste de la capital británica, en el seno de una familia que no era fanática religiosa. Asistió a un colegio católico, le gustaba el grupo S Club 7, era hincha del Manchester United y tuvo educación universitaria. Sin embargo, terminó radicalizándose y uniéndose a las filas del Daesh.

Un perfil similar tienen los integrantes de la célula de 12 miembros que atentó en Barcelona y Cambrils. Incluso uno de los detenidos lucía una polera con las siglas de “USA”, algo impensado para un yihadista.

“Los nuevos reclutas del Daesh son millennial’s, tienen una cultura digital y para seducirlos se usa el marketing viral, las redes sociales y el lenguaje audiovisual.

12/10/202014/10/2020

Errores comunes al realizar un Análisis de Riesgos

Compromiso, es indudable que es un factor muy importante donde toda la organización debe estar comprometida, desde la alta dirección hasta el empleado de menor jerarquía. Sin compromiso es imposible gestionar adecuadamente el riesgo y el modelo esta condenado al fracaso.
Liderazgo, el responsable del análisis de riesgo debe tener cualidades para trabajar en equipo, ser entusiasta, flexible, positivo y estar abierto a los cambios constantes que puedan presentarse sin que lo desvié del objetivo. Tener una solida experiencia y conocimientos académicos en análisis de riesgos es de suma importancia para el éxito de la gestión, frecuentemente las organizaciones no le dan la debida importancia a esta función, asignando esta responsabilidad en forma colateral o a una persona que no esta capacitada.
Equipos de trabajo, en oportunidades puede ser necesario contar con un equipo de analistas que sean receptivos, humildes, observadores, detallistas y orientados a los resultados, estas características de los miembros del equipo contribuirán al éxito de la gestión.
Metodología, existen varias metodologías probadas internacionalmente para el análisis de riesgos y estas pueden utilizarse con flexibilidad y márgenes razonables, sin embargo, el mejor método y mas eficiente es aquel que cumpla con las necesidades de la organización.
Copiar y pegar, uno de los errores mas frecuentes, utilizar documentos e informes de otras organizaciones y solo copian sin efectuar el análisis correspondiente, cada organización tiene su propia cultura, entorno, amenazas y vulnerabilidades, presentar resultados basados en realidades de terceros, el responsable se vuelve cómplice de las amenazas, puesto que tanto la evaluación como la gestión de los riesgos será errada con niveles de protección de los activos totalmente deficiente.
Resultado del análisis, muchas veces se da por sentado que los análisis de riesgos son permanentes, sin contemplar que para la realización de esta actividad están involucrados una serie de factores, cualquier cambio de estos obliga a efectuar un replanteo del informe lo que nos compromete a efectuar revisiones y actualizaciones en forma permanente.

24/09/2020

Amenaza Interna

Detectar la amenaza interna es un gran desafío para las organizaciones ya que compromete la confianza entre la empresa y sus empleados, contratistas y socios, lo cual es difícil de manejar y no darle la debida importancia podría causar graves daños a la empresa, tanto financieros como reputacional por el mal uso de la información.

Mientras intentamos mitigar el riesgo ante una amenaza que afecte a la información, es preciso entender que, los diversos enfoques que podamos adoptar para la seguridad de la información, no tendrán una solución que se adapte a los diversos tipos de ataque.
Tampoco existe un enfoque único que lo solucione todo, por consiguiente para controlar los problemas de seguridad, las organizaciones necesitan una combinación de capacitación permanente, procesos claros, simples, eficientes y disponer de la tecnología existente.

Las empresas vienen invirtiendo miles de millones de dólares en lidiar con la ciberseguridad, según los analistas y expertos en el año 2017 se gasto alrededor de $100 mil millones en la adquisición e implementación de soluciones tecnológicas de seguridad de la información. En el 2018 la cifra se elevo a más de US $114 mil millones y se estima que esta continuara creciendo.

El daño a la organización

Hay muchas maneras en que la amenaza interna puede dañar o afectar al negocio, si tomamos como ejemplo el caso de Edward Snowden, el robo de información militar confidencial y secreta aun continua causando problemas al ejercito de los Estados Unidos y a sus servicios de inteligencia, Snowden como muchas amenazas internas, no hackeó ningún sistema, simplemente copio la información a la que tenia acceso.

Otro caso de importancia fue el de Andrew Skelton auditor interno senior en la cadena de supermercados Morrisons en UK, legalmente tenía acceso a una gran cantidad de información confidencial de los empleados de la empresa. Cuando fue acusado de efectuar un mal uso de los recursos de la compañía, Skelton en represalia filtro información personal (salarios, números de cuentas bancarias, números del seguro social) de mas de 100,000 empleados en la web. El daño resultante a Morrisons fue de mas de 2 millones de libras esterlinas para indemnizar a sus empleados a pesar que la empresa no fue responsable de las acciones de Skelton.

En enero de 2019, el FBI acusó a Jizhong Chen, de nacionalidad china, por el robo de secretos comerciales de Apple. Chen trabajó en el proyecto del coche auto-conducido de Apple y se cree que robo propiedad intelectual clave, la cual pretendía vender a China. Chen tuvo acceso a la información por su trabajo en la empresa.

Un usuario envía un correo electrónico interno con información personal de los empleados, por ejemplo, la nomina de la empresa. Desafortunadamente, escribe la dirección de correo electrónico errada. El resultado es que la información terminan siendo enviada a personas ajenas a la empresa lo cual es una violación a las normas y podría causar contingencias.
Como observamos todas las vulneraciones y perdida de información fueron causadas por usuarios con accesos autorizados (amenaza interna) incentivados por diferentes motivos como; morales, represalias, económicos o por error, por cuanto es preciso controlar los diferentes tipos de amenazas internas que podrían ocurrir.

Existen 5 tipos de amenaza interna:

El Criminal
Esta Amenaza Interna se establece para robar, dañar o destruir información, para obtener beneficios económicos. El objetivo es la propiedad intelectual, listas de clientes o datos financieros. El caso de Jizhong Chen es un ejemplo de un atacante criminal.

El impulsado por la emoción
Estos son empleados que creen que la compañía u otro empleado los ha perjudicado de alguna manera. Tanto Andrew Skelton como Edward Snowden encajan en esta categoría. Ambos tuvieron problemas con sus empleadores, robaron y filtraron datos.

El Presionado
Este empleado tiene deudas, esta siendo extorsionado o participa en actividades ilícitas fuera del trabajo, principales causas de los presionados para robar información.

El Negligente
Son empleados que se niegan a acatar las normas teniendo un comportamiento riesgoso para la seguridad de la información. Sitios que visitan, el movimiento constante de información de la empresa a servicios en la nube inseguros o haciendo clic regularmente en correos electrónicos de phishing.

El Accidental
Son empleados que caen en una trampa de phishing bien elaborada o accidentalmente envían datos confidenciales por correo electrónico a direcciones de correo erradas.

21/09/2020

La Amenaza Interna, una de las claves para mitigar los ataques informáticos

La amenaza interna es, un problema real, que aún no recibe la debida importancia por parte de los líderes de seguridad de las organizaciones, para muchos la amenaza interna ni siquiera figura en la lista de las principales prioridades, siendo este tipo de amenaza un fenómeno que las organizaciones no pueden darse el lujo de ignorar.

Los delitos cibernéticos cada vez son más frecuentes y agresivos, causando cuantiosas pérdidas a las organizaciones, estimándose que el 40% de estos ataques tuvieron éxito debido a los actores internos.

Muchas organizaciones realizan verificaciones de antecedentes, riesgo crediticio a sus empleados y nuevas contrataciones, sin embargo, esto no es suficiente en el tiempo, puesto que surgen diferentes eventos en la vida personal de los empleados éticos, que pueden afectar su desempeño y motivarlos a poner en riesgo a la organización para conseguir un beneficio económico.

Lo bueno es que las amenazas internas mantienen un patrón de comportamiento que es observable cuyo factor principal es el estrés. La evaluación continua de los empleados permite minimizar este tipo de riesgo y también puede ser utilizada para detectar otros factores de interés.

Las señales de advertencia no deben ser ignoradas y actuar en forma rápida permite a los líderes de seguridad y RRHH solucionar el problema y evitar que el empleado se convierta en una amenaza interna y ocasione daño a la organización.

Está claro que las organizaciones tienen mucho que perder al ignorar este tipo de amenazas y deben contar con la capacidad para identificar y mitigar, aprovechando la evaluación temprana y continua de los empleados.