Etiqueta: Seguridad

Publicado el

La Ciberdelincuencia y el escenario de las amenazas

En un mundo post-pandemia plagado de ataques cibernéticos, espionaje digital, desinformación y un panorama político hiperpartidista, el acceso a inteligencia precisa y examinada es vital para entender la variedad de amenazas y actores de amenazas.

El escenario de las amenazas es tan diverso como sofisticado. Mantenerse al tanto de estas amenazas, comprender las motivaciones de los actores y conocer sus tácticas, técnicas y procedimientos es primordial.

Es necesario comprender como actúan los ciberdelincuentes identificando:

  • El escenario de las amenazas.
  • Por qué su organización podría estar en riesgo.
  • Cómo determinar el área de ataque.
  • Cómo los atacantes pueden vulnerar a su organización.

Identificar el escenario de las amenazas es un paso esencial para anticipar el efecto de influencias externas como geopolítica, pandemias y nuevas amenazas de seguridad para que su organización pueda implementar una estrategia de seguridad enfocada en los activos más valiosos.

Actores de amenazas, hackers y atacantes.

Como profesionales de la seguridad, estamos acostumbrados al uso intercambiable de los términos hackers, atacantes y actores de amenazas, generalmente en diferentes contextos que nos permiten comprender qué significado se pretende. Aunque las diferencias entre cada término son menores, es importante entender las diferencias.

Un actor de amenaza es una persona, grupo u organización con intenciones maliciosas. Un actor de amenaza no necesariamente tiene habilidades de tecnología de la información o relación con el panorama cibernético. Más bien, un actor de amenazas puede ser una persona o grupo especializado en guerra cibernética, psicológica y campañas de desinformación. Si bien pueden ser expertos en redes sociales y anunciantes ingeniosos, sus habilidades son completamente diferente a la de los hackers.

Un hacker es una persona con habilidades técnicas expertas. El término «hacker» generalmente indica una persona altamente motivada y curiosa a la que le gusta entender, inventar, crear y manipular sistemas. Es común utilizar el termino “hacker» para sindicar a un «atacante», sin embargo, un hacker no necesariamente tiene intenciones maliciosas.

Un atacante es una persona, grupo u organización que actúa con intenciones maliciosas.

Clasificación de actores de amenazas.

Los actores de amenazas se pueden clasificar en cinco clases en función de sus motivaciones y objetivos. La terminología puede diferir en toda la comunidad de seguridad, pero las ideas de los actores representados son consistentes.

Un actor de amenazas normalmente encajará en una de estas clases:

  • Los actores de amenazas patrocinados por el estado-nación o el estado trabajan para un gobierno y llevan a cabo campañas para obtener acceso a inteligencia valiosa o diseñadas para influir, interrumpir y comprometer la estabilidad política o económica de otras naciones.
  • El crimen organizado lleva a cabo actividades maliciosas principalmente para obtener ganancias económicas. Los grupos están estructurados y son una fuerza impulsora detrás de la economía sumergida.
  • Los hacktivistas quieren hacer una declaración y están emocionalmente comprometidos e implacables en su actividad maliciosa con acciones antigubernamentales, anti corporativas o de justicia social.
  • Los hackers son la categoría más amplia de actores de amenazas que operan por emoción o por competencia con sus pares para demostrar sus capacidades. Sus intenciones pueden ser benignas, pero también pueden cruzar la línea moral para beneficio personal ingresando al mundo del crimen organizado o a la investigación de seguridad.
  • La amenaza interna y los clientes descontentos son actores de amenazas que operan por malicia o negligencia.

La clasificación de actores de amenazas no es una ciencia exacta debido a que pueden tener objetivos superpuestos y dependiendo de sus actividades o motivaciones pueden operar en diferentes clases. También se da el caso que, algunos actores de amenazas para evitar la atribución de sus actividades se hacen pasar por actores de otras clases, lo que complica la atribución de los ataques, convirtiéndola en una actividad desafiante y sensible, que puede conducir a inestabilidades geopolíticas o afectar la vida de personas inocentes.

En el contexto del estado-nación y los grupos patrocinados por los estados utilizan comúnmente la amenaza persistente avanzada (APT) que define a un actor con capacidades avanzadas y su característica principal es que permanecen activos sin ser detectados por periodos prolongados. El término también puede referirse a grupos no patrocinados por los estados que realizan intrusiones específicas a gran escala para objetivos específicos que no están orientados políticamente.

FNS

Publicado el

Las organizaciones, principal objetivo de los ataques de phishing

En el ultimo año el 73% de las organizaciones fueron victimas de ataques de phishing y el 84% de estos ataques fueron causados por los empleados, la gran mayoría no cree que sea importante preocuparse personalmente por los riesgos de seguridad cibernética y asumen que no son un objetivo.

 En la mayoría de los ataques cibernéticos es una constante que, el empleado tenga alguna participación como:

  • Hacer clic en un archivo adjunto malicioso.
  • Ceder sus credenciales corporativas a una página de inicio de sesión suplantada en la web.
  • Tomar una acción específica porque fueron engañados para que creyeran que su CEO o jefe les ordeno que lo hicieran.

 Esto nos indica que los empleados simplemente no están preparados ni capacitados para pensar en el riesgo corporativo, y mucho menos en su función para ayudar a mitigar ese riesgo, las estadísticas así lo demuestran:

  • El 45% considera que la organización tiene poco o ningún riesgo de sufrir un ciberataque.
  • El 51% dice que TI debería ser el único responsable de proteger a la organización de las amenazas cibernéticas.
  • El 79% de los empleados ha participado en una o más actividades de riesgo que incluyen compartir credenciales con colegas, usar la misma contraseña en varios sitios, usar dispositivos personales no autorizados para realizar el trabajo y permitir que los miembros de la familia usen su dispositivo corporativo.
  • El 56% de los empleados no ha recibido ninguna capacitación y concientización sobre la seguridad.

Si una organización desea tener empleados atentos y comprometidos con la seguridad cibernética, debe mantener a sus empleados capacitados y concientizados, de igual manera considerar a la amenaza interna como un problema latente. Una cultura de seguridad dentro de la organización utilizando herramientas como KnowBe4 puede conseguir que sus empleados adopten mejores practicas de seguridad y minimizar los riesgos de ser victimas de ataques de phishing e ingeniería social.

FNS

Publicado el

Seguridad para el Trabajo Remoto

Con el reciente aumento del número de empleados que trabajan desde casa como resultado del brote de COVID-19, la red empresarial se ha dispersado y crecido considerablemente, ocasionando que sea mas difícil controlar y asegurar la información. 

Si bien es cierto las organizaciones pueden implementar estrategias y herramientas de control para mitigar los riesgos para una fuerza de trabajo móvil dispersa, son los propios empleados los llamados a garantizar buenas practicas en su trabajo, no confiar en nada ni en nadie por defecto aumentando el nivel de seguridad.

Los trabajadores remotos deben tomar las medidas necesarias para proteger su red doméstica, utilizar aplicaciones de forma responsable y bloquear sus dispositivos, tanto por su propia seguridad como para los sistemas corporativos, puesto que es probable que estén conectados gran parte del día.

Lo que suceda en la red doméstica puede transmitirse fácilmente a la empresa, especialmente cuando no se cumplen con las buenas prácticas o se emplean aplicaciones que pueden afectar la seguridad tanto de la red domestica como la corporativa.

Bajo el concepto de confianza cero los usuarios deben considerar que tanto los dispositivos como las redes son hostiles y asumir que todo puede ser una vía de ataque potencial, hasta que puedan ser validados y verificar que no lo son.

Vectores de ataque

Los atacantes utilizan una amplia variedad de medios para infectar a sus objetivos. Siendo necesario tomar conciencia sobre los vectores de ataque:

Ingeniería social

La ingeniería social se aprovecha de una de las vulnerabilidades más difíciles de mitigar, nuestra tendencia innata a confiar y utiliza muchas formas desde correos electrónicos, llamadas telefónicas, redes sociales.

La ingeniería social puede explotar muchas formas, desde correos electrónicos de phishing maliciosos y notificaciones falsas de fuentes aparentemente confiables. 

El mejor consejo para reducir la probabilidad de ser víctima de una operación de ingeniería social es simplemente pensar antes de actuar. Los ingenieros sociales cuentan que el objetivo es una persona distraída que no prestan mucha atención a lo que están haciendo. Busque señales de que algo anda mal, confíe en su instinto, si le dice que algo anda mal y no parece correcto, no se sienta presionado para actuar, si no está seguro, simplemente deje de hacer lo que está haciendo y póngase en contacto con su equipo de seguridad de TI para obtener ayuda. 

Acceso físico al dispositivo

Un atacante con acceso físico a un dispositivo no seguro puede instalar el software malicioso o tomar el control de las cuentas. Esto se puede hacer de varias formas, que van desde la inserción de un dispositivo de almacenamiento extraíble como una memoria USB, instalación de programas maliciosos desde una ubicación en línea o accediendo a cuentas en las que los usuarios ya han iniciado sesión.

El mejor consejo aquí es que nunca deje su dispositivo desatendido, ni siquiera por un breve momento, y asegúrese siempre de usar un bloqueo de pantalla habilitado con contraseña con un tiempo de espera automático establecido, incluso cuando se encuentra en entornos de confianza como la oficina o el hogar.              

Explotaciones de vulnerabilidad de las aplicaciones

Las vulnerabilidades dentro de las aplicaciones presentes en un dispositivo se pueden aprovechar para obtener acceso remoto.  Si bien no se puede hacer mucho acerca de las vulnerabilidades desconocidas es preciso garantizar que el sistema operativo y cada pieza de software instalada en el dispositivo están actualizados. 

Para obtener la mejor protección, habilite las actualizaciones automáticas para el sistema operativo y el software para que no tenga que realizar un seguimiento de cuándo están saliendo nuevas versiones, y puede estar seguro de que recibirá los parches tan pronto como estén disponibles. 

Además, cierre sus aplicaciones cuando no esté en uso, es menos probable que un atacante pueda aprovechar una vulnerabilidad de una aplicación si no está abierta, esto incluye a las aplicaciones que aparentemente están cerradas, pero en realidad estas se ejecutan en segundo plano. 

 Es importante crear un perfil de usuario en su dispositivo para el uso diario que no tiene privilegios administrativos habilitado para que los atacantes no puedan aprovechar esos privilegios. Además, asegúrese de que los dispositivos tengan un conjunto de soluciones de protección de endpoints que pueden evitar la explotación de vulnerabilidades desconocidas.

Aplicaciones maliciosas y permisos excesivos

Aplicaciones maliciosas descargadas de sitios web de terceros no verificados e incluso algunas que están en tiendas de aplicaciones legítimas, pueden ser aprovechados por los atacantes para comprometer un dispositivo. Verifique los permisos que solicitan las aplicaciones antes de la descarga. pregúntese ¿Realmente la aplicación necesita acceso a su cámara, micrófono, mensajería y contactos? si no está seguro, comuníquese con su equipo de seguridad de TI para ser asistido.

Sitios web maliciosos y comprometidos

Las infecciones pueden ocurrir al visitar sitios web controlados por atacantes. Este tipo de ataques a menudo se denominan ataques «drive-by» o «watering hole» dependiendo de la naturaleza de la operación. La mayoría de las personas comprenden los riesgos de la navegación web casual y la posibilidad de ser infectados con un malware, sin embargo, la mayoría no se dan cuenta cuando sitios web legítimos han sido comprometidos, o albergan una biblioteca de anuncios maliciosos que pueden infectar un dispositivo.

Hay algunas cosas que puede hacer para prevenir estas situaciones, como asegurarse de que su navegador esté actualizado a la última versión, instalando un programa bloqueador de anuncios legítimo y simplemente actuar con buen juicio y no navegar por la web en forma riesgosa.

Infecciones a través de cables de carga USB

Conectar su dispositivo móvil a una estación de carga o PC comprometida con un cable USB podría provocar una infección de malware.  Tenga presente que siempre que utilice una conexión USB para cargar el dispositivo móvil, existen riesgos debido a que el cable está diseñado para energía y datos.

Ataques a través de interfaces inalámbricos

Los dispositivos que tienen capacidades de interfaz inalámbrica pueden ser atacados a través de la red celular, conexiones, Wi-Fi, Bluetooth o comunicaciones de campo cercano (NFC): esa es la naturaleza del riesgo en cualquier forma de conectividad cuando no está conectado pero habilitado, pueden revelar información sobre el dispositivo que pueden aprovechar en un ataque, por lo que es una buena practica desactivarlos por completo cuando no estén en uso.

Además, cambie las contraseñas y los pines predeterminados para los dispositivos que se conectan a través de Bluetooth, deshabilite la función de conexión automática. Recuerde también que, aunque las conexiones NFC solo pueden efectuarse a una distancia muy corta, la conexión no es segura, apáguela cuando no esta en uso.

 Código malicioso

Dependiendo del tipo de malware que infecte sus dispositivos, un atacante puede hacer  prácticamente cualquier cosa en su dispositivo y en algunos casos mucho más, como el software espía, puede grabar llamadas telefónicas, audios, conversaciones, y registrar pulsaciones de teclas para robar información como credenciales de inicio de sesión. Algunos programas espía también pueden leer mensajes de texto y utilizarse para socavar la autenticación multifactor.

Los troyanos de acceso remoto (RAT) pueden permitir que un atacante tome el control total de su dispositivo y modificar la configuración de este o tomar capturas de pantalla. Los RAT también pueden permitirles hacerse pasar por ti y potencialmente infectar a otros en su red. Si alguien tiene acceso a su correo electrónico, redes sociales, medios y aplicaciones de texto, podrían engañar fácilmente a tus contactos pensando que son comunicaciones hechas por ti.

El malware también presenta problemas de privacidad generales, especialmente si permite el acceso del atacante a su correo electrónico personal, mensajes de texto, mensajes de voz, contenido de aplicaciones de chat y registro de llamadas. Algunos programas maliciosos también pueden permitir la recuperación de datos de ubicación, historial de navegación y medios almacenados como fotos y videos, datos personales confidenciales e incluso datos corporativos si usa su dispositivo para trabajar. Por último, pero no menos importante, está el ransomware. Si bien todo el malware es malo, el ransomware es quizás el peor de su clase en algunos aspectos. Cuando un dispositivo está infectado, el ransomware cifrará todos los datos y luego normalmente produce un mensaje para el propietario del dispositivo con instrucciones sobre cómo obtener la clave de cifrado para restaurar sus datos, pero esto tiene un costo significativo de rescate. Depende del propietario del dispositivo decidir si pagar o no un rescate para recuperar datos, y existen buenos argumentos a favor y en contra de hacerlo y riesgos específicos. Si paga, es posible que no recupere sus datos o podría generar más demandas de pago. Si no paga, corre el riesgo de perder todo lo que hay en el dispositivo. Obviamente lo mejor es no contraer una infección de ransomware si es posible.

Comportamiento de navegación arriesgado

Una de las cosas más fáciles que pueden hacer todos los usuarios para reducir significativamente el riesgo de dispositivos comprometidos, es abstenerse de comportamientos riesgosos de navegación web. Esto requiere tener conocimiento de los tipos de sitios web de los que se abusa con mayor frecuencia en los ataques y simplemente evitarlos. Si bien algunos de los comportamientos de navegación más riesgosos involucran sitios web de naturaleza adulta, hay muchos tipos de sitios web que tienen altas probabilidades de ser empleados en ataques a los usuarios, en estos sitios se pueden descargar música y películas que a menudo se promocionan en las redes sociales, ofrecen encuestas u otras novedades, así mismo, sitios web de apuestas, sitios con ventanas emergentes excesivas o que promocionen y noticias, además los usuarios también deben ser conscientes de que incluso los sitios web legítimos pueden ser utilizados para difundir malware, incluidos sitios web de juegos populares o sitios de noticias y entretenimiento.

Desactivar todas las descargas automáticas

Es una buena practica cuando esté en línea, deshabilitar las descargas automáticas de todos los archivos multimedia, como imágenes, audio, video y archivos de documentos, en aplicaciones y navegadores. Aunque es bueno desplazarse por los feeds de las redes sociales y hacer clic en todos los contenidos, puede poner en riesgo a la empresa si esta utilizando el dispositivo para el trabajo.

Comprobación de URL y documentos abreviados

URL abreviadas, que son particularmente populares en sitios de redes sociales como Twitter que tienen límites de caracteres, presentan un problema potencial para los usuarios porque no muestran exactamente a donde se dirige el enlace. Además, los acotadores de URL personalizados que se utilizan para crear enlaces URL personalizados que aparentan ser legítimos, pueden ser utilizados para dirigir a un sitio web malicioso.

A menudo, se puede ver la ruta de destino de una URL abreviada simplemente colocando el cursor del mouse sobre la dirección antes de hacer clic. 

SSL / HTTPS y seguridad del sitio web

Algunos sitios web se adhirieran a las mejores prácticas de seguridad al ofrecer conexiones encriptadas, como sitios bancarios y de comercio electrónico donde la información confidencial es intercambiada. Esas prácticas deberían estar vigentes para todos y cada uno de los sitios web independientemente de si hay información sensible o no, ya que protege a los usuarios de ataques.

Al visitar cualquier sitio web, los usuarios deben asegurarse de ver “HTTPS” y / o el ícono del candado en la barra de direcciones URL para asegurarse de que el trafico del sitio web se encuentra encriptado mediante Secure Socket 

Algunos navegadores incluso notificarán al usuario si el sitio web tiene la reputación de ser riesgoso o malicioso. Es una buena idea prestar atención a estas advertencias y evitar esos sitios. También hay herramientas y servicios disponibles que proporcionan filtrado de DNS que bloquea automáticamente los sitios web no seguros.

El correo electrónico es uno de los principales vectores de ataque y no podemos dejar de enfatizar lo importante que es estar atento cuando se trata de la seguridad del correo electrónico; Como usuarios finales, nos hemos acostumbrado demasiado a utilizar el correo electrónico para fines de rutina con niveles de comunicación a menudo voluminosos, siendo fácil bajar la guardia y obviamente los atacantes conocen esto.

Phishing y Spear Phishing

La mayoría de nosotros probablemente conocemos los riesgos de los correos electrónicos no deseados que pueden ser parte de campañas de phishing. 

El phishing es una forma de ingeniería social en la que los atacantes intentan engañar a los destinatarios para que revelen información confidencial o ejecuten un archivo con malware infectando su dispositivo y la red a la que esta conectado. 

Spear phishing lleva el phishing a otro nivel mediante el aprovechamiento de información privilegiada relacionada con el objetivo, aumentando significativamente la probabilidad de que el ataque tenga éxito.  Puede incluir el uso de correos electrónicos falsificados, diseñados para parecer que son de un remitente legítimo y confiable, comprometiendo cuentas de correo electrónico personal o corporativas utilizadas en un ataque. 

Los correos electrónicos de suplantación de identidad pueden incluir enlaces maliciosos o documentos contaminados que pueden generar una infección de malware o simplemente pueden contener instrucciones para navegar a un sitio web que parece legítimo pero que esta controlado por los atacantes donde se le pide al objetivo que ingrese las credenciales de la cuenta u otra información confidencial.

Publicado el

Pasos de un ataque de Phishing

  1. El delincuente informático hace una lista del personal clave de la organización que tiene acceso a información confidencial que desea.
  2. Busca a los empleados en Facebook y otras redes sociales para conocer sus intereses.
  3. El delincuente informático envía un correo electrónico con un archivo adjunto infectado con malware que despierte el interés de la victima.
  4. El empleado objetivo recibe el correo electrónico, que al ser un tema de su interés accesa al archivo adjunto.
  5. El malware se libera en su ordenador y comienza a enviar copias de todos los documentos y archivos al delincuente informático.
  6. El delincuente informático puede estar en cualquier parte del mundo, recibe la información robada consumándose el ataque.

Publicado el

Cinco consideraciones sobre la amenaza interna a tener presente por los lideres de seguridad de las organizaciones

La amenaza interna es, desafortunadamente un problema latente en las organizaciones que aun no ha recibido la suficiente dedicación, para muchos lideres de seguridad la amenaza interna ni siquiera figura en la lista de prioridades.
Teniendo en cuenta lo que esta en juego y las capacidades para advertir señales o indicios que nos permitan prevenir algún tipo de amenaza a la seguridad. La amenaza interna es un fenómeno que los ejecutivos de seguridad no pueden darse el lujo de ignorar. Los lideres de seguridad de las organizaciones deben tener estas 5 consideraciones sobre la amenaza interna:

  1. No subestimar las amenazas que podrían surgir internamente.

El delito cibernético se esta volviendo cada vez mas común y costoso, el numero de infracciones, violación de datos aumenta cada año e involucraron a actores internos.

  1. Los empleados desconectados generalmente son antiguos.

Las organizaciones conocen que con cada nueva contratación existe un riesgo, a pesar de efectuar verificaciones de antecedentes, riesgo crediticio, periodos de prueba, etc. Sin embargo, estas acciones no son suficientes, con el tiempo surgen eventos en la vida personal de los empleados que pueden afectar su desempeño e integridad forzándolos a contemplar la posibilidad de poner en riesgo la empresa para su propio beneficio.

  1. Los empleados desconectados exhiben señales de advertencia.

Las amenazas internas, adoptan patrones de comportamiento observables y relacionados con el estrés, manifestándose como un empleado menos presente, productivo, se aísla, cambios en su lenguaje corporal y verbal, etc.

  1. La evaluación continua permite ver indicadores de riesgo de los empleados.

Las herramientas de evaluación continua alertan a los lideres de seguridad y RRHH sobre los empleados que exhiben señales de alerta y estas evaluaciones pueden ser personalizadas para detectar otros factores de interés que atenten contra la seguridad y las personas.

  1. Detectar a tiempo comportamientos subestándares en los empleados permite identificar y mitigar amenazas.

Las señales de advertencia nunca deben de ignorarse, actuar en forma rápida permite que las áreas de seguridad y RRHH trabajen en forma coordinada para evitar que el problema se intensifique y lograr que RRHH pueda efectuar su labor con relación al clima laboral y bienestar de los empleados.

Las organizaciones tienen mucho que perder al pasar por alto la amenaza interna, sobre todo que hoy en día que existen herramientas que permiten conocer el comportamiento de los empleados en tiempo real. Aprovechar la evaluación temprana y continua para prevenir la amenaza interna es lo que los ejecutivos de seguridad deberían hacer para controlar las vulnerabilidades y el clima laboral.

Publicado el

Errores comunes al realizar un Análisis de Riesgos

Los Análisis de Riesgos son ejercicios muy importantes y eficientes para gestionar la seguridad en una organización, que nos mantienen preparados para las diversas situaciones de crisis que se pueden presentar. Sin embargo, es común la ocurrencia de situaciones negativas en las organizaciones o comunidades para que recién tomen acción para identificar, evaluar y gestionar los riesgos.

Es frecuente observar en las organizaciones diversos factores que condenan al fracaso la gestión de riesgos, lo que compromete la seguridad y la continuidad del negocio. Siendo los mas comunes los siguientes:

  • Compromiso, es indudable que es un factor muy importante donde toda la organización debe estar comprometida, desde la alta dirección hasta el empleado de menor jerarquía. Sin compromiso es imposible gestionar adecuadamente el riesgo y el modelo esta condenado al fracaso.
  • Liderazgo, el responsable del análisis de riesgo debe tener cualidades para trabajar en equipo, ser entusiasta, flexible, positivo y estar abierto a los cambios constantes que puedan presentarse sin que lo desvié del objetivo. Tener una solida experiencia y conocimientos académicos en análisis de riesgos es de suma importancia para el éxito de la gestión, frecuentemente las organizaciones no le dan la debida importancia a esta función, asignando esta responsabilidad en forma colateral o a una persona que no esta capacitada.
  • Equipos de trabajo, en oportunidades puede ser necesario contar con un equipo de analistas que sean receptivos, humildes, observadores, detallistas y orientados a los resultados, estas características de los miembros del equipo contribuirán al éxito de la gestión.
  • Metodología, existen varias metodologías probadas internacionalmente para el análisis de riesgos y estas pueden utilizarse con flexibilidad y márgenes razonables, sin embargo, el mejor método y mas eficiente es aquel que cumpla con las necesidades de la organización.
  • Copiar y pegar, uno de los errores mas frecuentes, utilizar documentos e informes de otras organizaciones y solo copian sin efectuar el análisis correspondiente, cada organización tiene su propia cultura, entorno, amenazas y vulnerabilidades, presentar resultados basados en realidades de terceros, el responsable se vuelve cómplice de las amenazas, puesto que tanto la evaluación como la gestión de los riesgos será errada con niveles de protección de los activos totalmente deficiente.
  • Resultado del análisis, muchas veces se da por sentado que los análisis de riesgos son permanentes, sin contemplar que para la realización de esta actividad están involucrados una serie de factores, cualquier cambio de estos obliga a efectuar un replanteo del informe lo que nos compromete a efectuar revisiones y actualizaciones en forma permanente.

Factores importantes como, la transparencia, ética, técnicas, normas, liderazgo, organización, conocimientos, control y compromiso debidamente incorporados en el análisis de riesgos agregaran valor a la gestión y ayudara a minimizar el riesgo y proteger los activos de la organización.

Publicado el

Evolución de los ataques de ransomware

Hoy en día los ataques de ransomware vienen evolucionando, cambiando la modalidad de ataques generalizados por ataques selectivos contra organizaciones y sectores concretos. En esta modalidad los atacantes amenazan con cifrar los datos y además publicar en línea toda la información confidencial, sino se atienden sus demandas del pago dentro del plazo indicado del rescate por la información.

Los ataques de ransomware son unos de los tipos de amenazas graves que enfrentan las organizaciones puesto que, no solo pueden interrumpir las operaciones comerciales, sino que también pueden provocar considerables perdidas financieras y en algunos casos multas y juicios como resultado de violación de las normas y regulaciones. Estos nuevos ataques de extorsión utilizan las conocidas familias de ransomware Ragnar Locker y Egregor con ataques selectivos y adaptados a cada victima. Si la organización se niega a pagar el rescate sus datos confidenciales son publicados, si la victima acuerda con los ciberdelincuentes efectuar el pago y no lo hace también publican la conversación.

Los principales objetivos de Ragna Locker son empresas estadunidenses que desde julio se unió a la familia de ransomware Maze con la finalidad de compartir información robada. Por otro lado, Egregor descubierto en setiembre utiliza tácticas parecidas y comparte similitudes de código con Maze.

Egregor tiene un radio de ataque mas extenso como objetivo América del Norte, Europa y determinadas áreas de Asia-Pacifico, se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, de lo indican un plazo de 72 horas para efectuar el pago por el rescate de lo contrario la información se hará publica.

Las organizaciones deben aplicar buenas practicas de ciberseguridad con la finalidad de prevenir o identificar el ataque antes que se alcance el objetivo final, puesto que cuando el ransomware se despliega, el atacante ya ha reconocido la red, identificado y filtrado la información confidencial.

Algunas Recomendaciones:

  • No exponga los servicios de escritorio remoto a redes publicar y utilice contraseñas robustas.
  • Mantenga el software actualizado en todos los dispositivos que se utilicen.
  • Tenga especial atención con los archivos adjuntos de los correos electrónicos.
  • Utilice soluciones de identificación temprana para detener el ataque.
  • Implemente una estrategia de defensa, detección de movimientos y filtración de datos a internet, trafico saliente, efectúe copias de seguridad periódicas.
  • Capacite y comprometa a todo el personal de su organización.
  • Utilice soluciones de seguridad para endpoint, prevención de exploits, detección de comportamientos y motor de remediación para hacer retroceder las acciones maliciosas.
  • Ponga especial atención a los empleados remotos que actúen como puerta de entrada a la red.
Publicado el

Como se aplica el ciclo de inteligencia en el terrorismo yihadista y la necesidad del uso de inteligencia frente a este fenómeno

Se define el ciclo de inteligencia como la Secuencia de actividades mediante las que se obtiene información que se convierte en conocimiento (inteligencia) que se pone a disposición de un usuario.

No existe consenso en cuanto a las fases que lo integran, encontrando:
–    CIA, 5 fases: dirección, recolección, procesamiento, producción y diseminación.

 En la comunidad de inteligencia norteamericana las fases del ciclo reciben otro nombre, y se distingue la fase de obtención de la de procesamiento, por lo que son cinco etapas. La inteligencia militar norteamericana incluye dos fases más: el feedback de los protagonistas de cada fase y la evaluación del conjunto del proceso.
–    OTAN, 4 fases: dirección, recolección, procesamiento y diseminación.
–    CNI, 4 fases: dirección, obtención, elaboración y difusión.

El ciclo de inteligencia es útil con precauciones a la hora de representar de manera ideal la inteligencia como proceso, a menudo los modelos, tienen la ventaja hacer fácilmente comprensible un fenómeno complejo, pero también el inconveniente de simplificar en exceso la realidad.

Según el modelo ideal, el proceso de inteligencia sigue cuatro etapas:

  1. Dirección. Los destinatarios de la inteligencia plantean una serie de demandas al responsable del servicio de inteligencia. Dependiendo del tipo de inteligencia esos destinatarios pueden ser decisores políticos, altos mandos militares, responsables policiales de alto nivel, etc. Por falta de tiempo, de interés o de saturación de su propia agenda, los decisores políticos no siempre señalan objetivos claros, específicos y continuos para que los responsables de los servicios de inteligencia continúen el ciclo. Con bastante frecuencia las fuerzas del orden asumen que los servicios de inteligencia les avisarán de los problemas antes de que sucedan, o que éstos complementarán a través de sus propias fuentes y análisis las noticias que acaparan las portadas de los medios de comunicación.
  2. Obtención. Quienes trabajan en la fase de obtención buscan y recopilan información a través de diversos medios, una vez procesada, esa información se entrega a los analistas. El desarrollo de sistemas de obtención requiere tiempo, por lo tanto, es indispensable orientar permanentemente el esfuerzo de búsqueda.

  3. Elaboración. Los analistas evalúan, analizan, integran e interpretan la información recibida. El conocimiento que se genera a partir de ella se plasma en diversos formatos de entrega de inteligencia. Los analistas no dependen en todos los casos de la información que les llega desde las unidades de obtención. Muchas veces pueden preparar un informe a partir de bases de datos alimentadas durante años. Cuando llega nueva información es puesta en perspectiva con información y análisis previos. Al mismo tiempo, en caso de surgir contradicciones o de crearse nuevas necesidades informativas, los analistas pueden solicitar a los órganos de Obtención nuevas informaciones sin necesidad de trasladar su análisis al decisor político para que éste a su vez planté una nueva demanda.

  4. Difusión. La inteligencia como producto es entregada a los destinatarios, que pueden pedir aclaraciones sobre la inteligencia recibida o solicitar nuevas demandas, activando de nuevo el ciclo. Además de los análisis que según el ciclo ideal se transmiten al destinatario en la fase de Difusión, en situaciones de crisis la información de origen, puede llegar a manos de los consumidores sin pasar antes por los analistas. Esta opción plantea inconvenientes debido a la falta de evaluación e integración de la información, pero puede ser oportuna para los responsables en base a las circunstancias. Por otra parte, no todos los análisis preparados en la fase de Elaboración llegan a los consumidores. Por último, cabe esperar que la inteligencia una vez difundida, sea considerada en la toma de decisiones.

La Inteligencia es un elemento clave en la lucha antiterrorista, sin embargo, en el caso del terrorismo yihadista que actúa en Europa y Estados Unidos, su importancia es aún mayor, ya que los yihadistas articulan la presencia de amplias comunidades islámicas, en su mayoría de procedencia inmigrante, para pasar desapercibidos y reclutar nuevos simpatizantes. Los yihadistas adaptan su modus operandi a las condiciones de seguridad de los países en los que actúan, prueba de ello es el aumento de terroristas que actúan en solitario, así como el uso de vehículos o armas blancas y de fuego en lugar de bombas, reviste importancia también su vinculación con el crimen organizado.

En dicho contexto las actividades antiterroristas deben contar con una inteligencia de calidad que les permita discernir con precisión entre la ínfima minoría de radicales y la inmensa mayoría de pacíficos creyentes, siendo la Obtención la etapa más relevante en la cual se utilizan diversos sistemas de captación de información a través de imágenes (IMINT), trazado de señales electrónicas (SIGINT), explotación de fuentes abiertas (OSINT), fuentes humanas (HUMINT). En esta etapa se aplican los avances tecnológicos junto a las fuentes humanas.

Inteligencia de Imágenes (IMINT) y de Firmas (MASINT)

  • Imágenes ópticas: obtenidas a través de aviones de reconocimiento tripulados y no tripulados (Unmanned Aerial Vehicle, UAV/Remotte Control Vehicle, RPV, o en el lenguaje coloquial, drones), satélites de observación terrestre a relativa baja altura (200-1.000 km), imágenes de costa o de otros buques obtenidas de manera discreta por submarinos, etc.
  • Imágenes infrarrojas (IR), que permiten la observación nocturna y la detección de fuentes de calor, como personas o motores.
  • Captación de otro tipo de radiaciones (MASINT), algunas visibles y otras no, pero que permiten obtener información relevante. Un medio por ejemplo son los satélites radar, los sistemas de detección de explosiones nucleares o los sistemas de escucha submarina. Algunas clasificaciones también incluyen, justificadamente, las imágenes infrarrojas en el MASINT.
  • Ambos tipos de fuentes (IMINT y MASINT, más otras disciplinas como la topografía y la geodesia, nutren la inteligencia Geoespacial (GEOINT) dedicada a obtener, procesar y explotar información relacionada con la actividad humana sobre la Tierra.

Ventajas:

  • Una gran cantidad de objetivos son observables a través de estos medios (campos de entrenamiento, ejercicios militares, bases, etc.)
  • Las imágenes tienen una gran fuerza sobre el decisor político y el público en general.
  • En la mayoría de las ocasiones pueden obtenerse a distancia, sin riesgo para los recursos humanos que desempeñan esa tarea. Una tendencia al alza por los avances en materia de drones.
  • Posibilidad de transmitir las imágenes en tiempo real.
  • Son de gran utilidad para algunos tipos de inteligencia (como, por ejemplo, asuntos militares) pero no tanto en otras áreas.
  • En algunos casos (cuando se combinan con datos de elevación) las imágenes aéreas pueden ser utilizadas para crear simulaciones tridimensionales y ensayar operaciones militares o clandestinas sobre un escenario real. El propio Google Earth ofrece un rudimentario simulador de vuelo que utiliza este tipo de información.

Limitaciones:

  • Al igual que sucede con los otros tipos de fuentes, necesitan ser complementadas con otros sistemas de obtención. Por ejemplo, pueden ofrecer una imagen nítida de una fábrica, pero desconocerse para qué se utiliza. El IMINT permite ver ‘cosas’ pero no siempre captar su significado.
  • De este modo, la aparente fuerza de las evidencias obtenidas por IMINT constituye al mismo tiempo una debilidad. Puede darse demasiada verosimilitud a la inteligencia respaldada por IMINT, desechando de forma apresurada informaciones que la contradigan y basando en ella decisiones mal informadas.
  • Todavía no son útiles para identificar a personas individuales, aunque serán capaces de hacerlo en pocos años.
  • Las imágenes necesitan la interpretación de técnicos que ven detalles que escapan al personal no entrenado. Esto obliga a que los analistas, los decisores políticos y, en casos excepcionales, la opinión pública, dependan de la opinión de esos expertos.
  • Coste muy elevado de adquisición y mantenimiento.

Inteligencia de señales (SIGINT)

  • Captación de comunicaciones emitidas a través de diversos medios: radio, teléfonos, fax, internet. Es también conocida como COMINT.
  • Captación de señales electrónicas (ELINT), que no impliquen comunicación pero que sean relevantes para la inteligencia (por ejemplo, emisiones de radar o sonar).
  • Los medios de obtención de SIGINT son muy variados: satélites, aviones, buques, estaciones de tierra, etc.
  • Aunque en las taxonomías clásicas no se incluye como SIGINT, la ciber-obtención (más conocido como ciber-espionaje) es un sistema en auge por motivos obvios. La dependencia cada vez mayor en los sistemas informáticos a la hora de almacenar, gestionar y trabajar con información; y las ventajas que ofrece esta posibilidad para un servicio: obtener grandes cantidades de información sensible que impresas tendrían que ser transportadas en camiones de manera discreta, a distancia y muchas veces instantánea.

Ventajas:

  • La interceptación de las comunicaciones personales permite conocer las ideas, planes, intenciones y características de los objetivos humanos.
  • En el terreno militar, permite establecer el orden de batalla electrónico del adversario. Es decir, los medios de que dispone, su organización y localización. También advertir cambios en pautas establecidas que alerten por ejemplo de un incremento de su actividad.
  • Es una información que se obtiene la mayoría de veces a distancia, con escasos riesgos personales

Limitaciones:

  • Para que funcione, el objetivo humano ha de comunicarse a través de sistemas electrónicos. Si renuncia a ellos, la obtención por SIGINT resulta estéril.
  • En una línea similar, los objetivos de la inteligencia pueden seguir una férrea y exitosa práctica de control de emisiones (EMCON, en sus siglas inglesas) que dificulte seriamente su seguimiento. Puede ir desde el conocido silencio radio o de radar, hasta emplear líneas de comunicación terrestre.
  • Como ya se ha señalado anteriormente, la SIGINT genera un volumen abrumador de información, prácticamente imposible de procesar en su totalidad y menos aún en tiempo preciso, a no ser que se focalice de manera muy detallada la búsqueda (por ejemplo, interceptando un determinado número de teléfono o una cuenta de correo concreta).
  • En algunos casos las comunicaciones pueden estar fuertemente cifradas, lo cual obliga a recurrir a otro género propio de la inteligencia que consiste en obtener o descifrar los códigos del adversario.
  • Igualmente se puede sortear, mediante otras técnicas: cambio frecuente de tarjetas de teléfono móvil prepago, empleo de cibercafés, comunicaciones a través de chats en foros inopinados (de contactos o de videojuegos) utilizando un código preestablecido, etc.
  • Es frecuente que las comunicaciones deban ser traducidas al idioma de los analistas, lo cual requiere contar con traductores suficientes y acreditados para poder procesar las informaciones captadas.
  • Vulnera el derecho a la privacidad de los ciudadanos, por lo que en los sistemas democráticos el empleo de estos medios se encuentra sujetos a las limitaciones legales
  • Al igual que sucede con el IMINT, los sistemas de SIGINT entrañan un coste muy elevado.

Inteligencia de fuentes abiertas (OSINT)

  • Medios de comunicación. Muchas veces los medios ofrecen información en tiempo real o análisis en profundidad sobre asuntos de interés para la inteligencia. En algunos casos también pueden ofrecer IMINT a través de fotos o tomas de televisión.
  • Datos públicos. Informes de gobiernos o de organismos internacionales (FMI, OCDE, por ejemplo), bases estadísticas, debates legislativos, discursos, etc.
  • Consulta directa a profesionales, académicos; asistencia a cursos o seminarios; o lectura de publicaciones académicas especializadas a través de suscripciones, consulta de foros públicos o internet.
  • Con respecto al apartado anterior, son reseñables los servicios de inteligencia privados. Empresas de seguridad que proporcionan no sólo información, sino también su propia inteligencia.
  • También se incluyen en esta categoría las imágenes de satélites civiles de Digital Globe, Google Earth, etc.
  • Igualmente forma parte de las fuentes abiertas, aunque cada vez más tiende a convertirse en un subgénero propio (SOCMINT), la información que las personas publican en sus perfiles personales de redes sociales (Facebook, Twitter, LinkedIn, YouTube, etc.), las relaciones que mantienen, su geolocalización, etc.

Ventajas:

  • Accesibilidad y validez para muchos de los asuntos de inteligencia.
  • Dada su diversidad es más difícil que sea manipulada por otros. Aunque parezca paradójico, en muchos casos es más fiable que las fuentes reservadas
  • Muchas veces puede ser la primera etapa de un proceso de obtención.

Limitaciones:

  • Al igual que sucede con la SIGINT genera un enorme problema de volumen y en la mayor parte de los casos, los servicios no cuentan con un organismo especializado para la obtención y procesamiento de este tipo de información. Como consecuencia, es el mismo analista quien en principio debe hacer la búsqueda, discriminar y procesar este tipo de fuentes, y la carencia de tiempo no siempre lo permite.
  • En la mayor parte de los casos debe ser complementada con información procedente de fuentes de carácter reservado, pues la opacidad de determinados temas de interés hace que queden fuera de la información abierta (por ejemplo, proliferación de armas de destrucción masiva, composición real de un grupo terrorista, etc.). Las fuentes abiertas sobre este tipo de cuestiones deben analizarse con extrema precaución antes de se consideren fiables.
  • Por este último motivo, la OSINT despierta todavía recelos institucionales en algunas agencias de inteligencia (al menos, en las norteamericanas). Y a ello se añaden suspicacias corporativas, pues un énfasis excesivo en fuentes abiertas cuestiona la utilidad de las fuentes propias de los servicios.
  • La OSINT no es tan caro como otros sistemas, pero tampoco es gratis ni económico. La suscripción corporativa anual a una revista académica especializada en Relaciones Internacionales o Estudios Estratégicos suele costar varios miles de euros. Si hablamos de decenas de revistas y del contrato de servicios de gestión de medios de comunicación la factura final puede acabar siendo elevada.

Inteligencia humana (HUMINT), en la lucha contra el terrorismo yihadista, destacan tres medios de particular interés:

  • Agentes o colaboradores infiltrados

 Una primera fuente de inteligencia humana son los infiltrados, agentes o colaboradores de los servicios de información policiales o de los servicios de inteligencia estratégica que logran penetrar en la estructura interna de un grupo terrorista. Para ello deben simular que comparten las convicciones radicales del resto de miembros del grupo y, con frecuencia, pertenecer a una etnia de origen similar a la de los otros integrantes.

Las ventajas de los infiltrados son evidentes. Por su situación dentro de los círculos internos del grupo pueden tener acceso a información crítica que permita anticiparse a los terroristas.

Sin embargo, los obstáculos con los que se encuentra este sistema de HUMINT son considerables. Por un lado, resultan precisas elevadas dosis de valor a la hora de desempeñar un papel que en caso de descubrirse puede poner en peligro la vida del interesado. Al mismo tiempo el infiltrado debe de pasar los controles de seguridad de los yihadistas, que en la medida de sus posibilidades intentarán recabar referencias sobre el nuevo candidato al grupo. En casos extremos el infiltrado también puede ser invitado a participar en actividades delictivas en beneficio del grupo y que, de alguna manera, permitan a los líderes de la red poner a prueba el compromiso del aspirante.

  • Informadores periféricos

Se trata de colaboradores habituales de los servicios de información policiales o de inteligencia que por su presencia en determinados ambientes pueden recabar informaciones relativas a los grupos yihadistas.

Como su nombre lo indica, no se trata de infiltrados y por ello, difícilmente pueden llegar a conocer aspectos altamente sensibles de los planes y actividades de un grupo yihadista. No obstante, este tipo de informadores puede ser de gran utilidad a la hora de descubrir la existencia de una red yihadista, al situar a determinados individuos como integrantes o simpatizantes de la misma.

Como ya señalamos en un análisis anterior, las células locales y las redes de base yihadistas se ven obligadas a relacionarse con la sociedad donde actúan con fines de captación de recursos humanos y materiales.

De este modo, la presencia de informadores periféricos en esos ambientes puede permitir la detección y la acción preventiva sobre redes yihadistas, su existencia también puede generar psicosis de vigilancia y paranoia que auto limite a los yihadistas a la hora de captar recursos en dichos entornos, de modo que se reduzca la operatividad y peligrosidad del grupo.

Sin embargo, los informadores periféricos también tienen sus puntos débiles. Al tratarse de fuentes humanas, la información que transmiten puede estar contaminada por juicios subjetivos que reduzcan o, por el contrario, aumenten desproporcionadamente su entidad real. En algunos casos esa alteración puede darse de manera consciente con el fin de ganar prestigio e interés ante los ojos del agente que los controla y aumentar así la recompensa que reciben a cambio de la información.

  • Colaboración ciudadana

Resulta interesante a la hora de detectar redes o individuos vinculados al yihadismo. Las informaciones espontáneas y puntuales que proporcionen ciudadanos corrientes que asisten a una determinada sala de oración, propietarios de comercios, etc., pueden convertirse en una primera señal de alarma que ayude a dirigir otros sistemas de obtención de información en la dirección adecuada. Muchos de los atentados fueron coordinados o dirigidos por militantes extranjeros en Siria o Irak. Por eso, la clave está en la vigilancia. Hay que ser capaz de prever qué individuos pueden suponer una amenaza.

Publicado el

Perfil del Terrorista Yihadista, Radicalización, Lobo Solitario

Existen cifras relevantes para entender la magnitud de uno de los desafíos a la seguridad más grandes,  el desarrollo de más ataques terroristas por yihadistas convertidos con diferentes tendencias que según la evidencia  los terroristas europeos, a diferencia de sus contrapartes en África del Norte y Medio Oriente, suelen contar con antecedentes penales.

Este dato sugiere que un criminal convertido en yihadista tiene más posibilidades de aprovisionarse con armamento, gracias a contactos en redes de traficantes. Además, dado que el yihadismo ofrece martirio como una forma de redención, individuos radicalizados tienen motivación para perpetrar ataques, incluso a costa de perder sus propias vidas. Los reportes indican que muchos de los yihadistas europeos radicalizados tienen antecedentes penales. En este sentido, análogamente a las redes criminales, los círculos extremistas estarían reclutando en entornos sociales cerrados, aprovechando los vínculos personales de los miembros que ya están comprometidos con la causa. Para ello la narrativa yihadista apela a las necesidades personales de los criminales, confiriendo, a través de la ideología, licencia o legitimidad para cometer más crímenes en nombre de una misión trascendental, y que paradójicamente los exonera de todo mal pasado. Ofrecen un sentido de propósito y dirección, redirigiendo las acciones criminales mediante una ideología mimetizada con la religión.

Sobre la relación entre el crimen y terrorismo islámico, el 40% de los actos terroristas en Europa se financian parcialmente con delitos menores, como la venta de drogas, hurtos, y la compraventa de bienes robados. De este modo, los yihadistas que provienen de la criminalidad hacen lo que mejor saben hacer, solo que para un propósito más siniestro siendo las prisiones el caldo de cultivo para yihadistas. La apologia es fácil de predicar entre jóvenes enojados haciendo amplio uso del internet formando vínculos interpersonales que luego pueden transferirse de par en par dentro y fuera de la cárcel. Es factible que un yihadista con antecedentes criminales cuente con experiencia para llevar a cabo actos terroristas con mayor probabilidad si ya ha estado involucrado en incidentes violentos. Por otro lado, un yihadista en potencia podría saber dónde y cómo conseguir armas de antemano y cómo adaptarse para mantener un perfil bajo. Sin embargo dado que el acceso a las armas están restringidas, los manuales Yihadistas contemplan la utilización de cualquier medio para causar terror como vehículos, armas blancas, incendios, etc.

 Los españoles yihadistas son en su mayor parte individuos de ascendencia magrebí, y que por regla general disponen de vínculos con células tanto en Europa como en África del Norte y Medio Oriente y muchos individuos financiaban sus actividades mediante el tráfico de drogas a pequeña escala, y otros delitos de poca envergadura. los vínculos personales representan el principal vehículo para la radicalización que en definitiva los individuos radicalizados buscan llenar un vacío existencial que el islam integrista sabe explotar, ofreciendo recompensas materiales como intangibles espirituales. Los yihadistas medio orientales y africanos tienden a no tener antecedentes penales, no es común que los terroristas provengan de un entorno criminal reducido o que hayan cometido delitos previos a su involucramiento con causas radicales.  Un numero considerable de terroristas tienen educación superior y algún tipo de experiencia profesional en carreras técnicas o científicas, con títulos en ingeniería, matemática y medicina. En comparación, muy pocos hicieron estudios islámicos y menos aún humanitarios.

El aislamiento, la frustración laboral, social y política de los jóvenes es un caldo de cultivo para ser reclutado. Sin embargo, Internet es la herramienta principal de captación, propaganda, proselitismo y radicalización del yihadismo en Europa. Los terroristas consultan páginas extremistas donde tienen acceso a libros sobre la yihad, vídeos violentos o manuales sobre la fabricación de bombas,  el terrorismo yihadista no requiere de una estructura de corte jerarquizado, funcionando principalmente a través de estructuras en red compuesto por individuos y grupos afines ideológicamente repartidos por todo el mundo difundiendo mensajes a través de Internet para impulsar las actividades de los diferentes grupos adscritos al islamismo radical, a la vez que reclutar y movilizar a nuevos adeptos. Como vemos, la evolución de las nuevas tecnologías, aplicaciones móviles y demás herramientas virtuales generan constantemente nuevas oportunidades en las redes, existiendo  evidencias que muestran que el Daesh ha ido incrementando exponencialmente su apuesta por el uso de Internet con fines de radicalización e inspiración de atentados.  Asimismo es posible constatar cómo ha aumentado significativamente la cantidad de material, propaganda e informaciones radicales disponibles y fácilmente accesibles en el ciberespacio, así como el número de personas que acceden a estos contenidos y los utilizan.  Las fases de radicalización y de reclutamiento son independientes entre sí, manteniendo las siguientes etapas:

  • Etapa de identificación: Se persigue el impacto emotivo-afectivo agradable del usuario. No basta con navegar por un entorno virtual yihadista, pues el sujeto debe mostrar predisposición a la doctrina para pasar a la siguiente fase.
  • Etapa de captación: El usuario de la red es puesto a prueba por los administradores o encargados del sitio web, red social, foro o lugar virtual en cuestión, con el objetivo de comprobar la fidelidad de su ideología y su disposición.
  • Etapa de radicalización: La relación comienza a ser bidireccional. La adhesión a la ideología radical ha de ser inquebrantable, por eso se establecen compromisos mutuos tales como manifestaciones por escrito o pequeñas acciones de ayuda a la yihad. El fin último es la asunción de la nueva identidad.
  • Etapa de fidelización: Requiere esencialmente la inversión de tiempo. La persona captada ha de demostrar que ha interiorizado los valores del radicalismo pertinente como propios, haciendo de ellos su modo y objetivo de vida. En este punto puede considerarse como parte de la célula. En dicha etapa, el sujeto ya profesa la ideología radical, de modo que a efectos de investigación y/o prevención es susceptible de cometer actos violentos y justificarlos en nombre de su creencia.
  • Etapa de acción: La intención se demuestra con la comisión de los actos acordados.

Aunque no sea posible establecer un perfil típico de combatiente extranjero, existen rasgos comunes entre los que destacan que los foreign fighters son por lo general hombres musulmanes de entre 18 y 35 años, recién convertidos al Islam de segunda o tercera generación en un país occidental que tras los atentados terroristas, EEUU y Europa han sido catalogados, provocando que se cree un sentimiento de decepción hacia occidente siendo su motivación es mas personal que política. La mayoría de combatientes  acumula antecedentes personales y la minoría tiene problemas psicológicos.

Una vez que el combatiente es reclutado en prisiones o lugares de culto, las mujeres y familia lo acompañan para formar parte del califato islámico y una vez allí reciben un salario por combatiente, por las mujeres y los hijos. Los prototipos de retornados pueden dividirse en tres grupos, los retornados operacionales que vuelven a sus países de origen para perpetrar atentados terroristas y reclutar a mas personas, los retornados desunidos que siguen siendo fieles al yihadismo y su causa han tenido que luchar contra yihadistas rivales y el tercer grupo que retornan por decepción, sentimiento de engaño y arrepentimiento. Al no ser sospechosos, logran pasar los controles.

El Daesh ha convertido en punta de lanza a individuos que al no ser sospechosos, logran pasar bajo la mirada de los servicios policiales, los lobos solitarios  operan individualmente o en pequeños grupos  y son protagonistas de una de las principales amenazas terroristas en occidente como el muchacho que se hizo estallar en Ansbach Alemania, los atentados en San Bernardino California, Orlando Florida, Niza Francia y Wurzburgo Alemania. Ni el mejor servicio secreto del mundo es capaz de desarticular el accionar de un lobo solitario y son prácticamente invisibles por lo que es preciso estar atentos a otro tipo de información, indicios sobre el comportamiento de sospechosos por ejemplo Mateen y Lahouaiej tenían antecedentes de violencia contra las mujeres, el asesino de Orlando comento a sus compañeros de trabajo sus ansias de matar y su odio a los homosexuales.

Los perfiles psicológicos de los lobos solitarios que atacaron en Orlando y Niza muestran a personas con desequilibrios psicológicos sobre todo relacionados con serios problemas para controlar la agresividad y los arrebatos de ira, eran violentos, maltrataban a sus esposas y habían tenido problemas con drogas. El Daesh dirige su propaganda a individuos perturbados y fascinados con la violencia extrema y se aprovecha de las frustraciones, auto odio y aspiración al suicidio, es importante señalar que para esta agrupación terrorista yihadista, los lobos solitarios se han convertido en un arma fundamental en su ofensiva contra occidente, logrando atentados exitosos sin mayor esfuerzo, la acción de estos terroristas le permite mantenerse en el primer puesto de la amenaza global. Así mismo el Daesh cuenta con un equipo de especialistas que gestionan cientos de cuentas de twitter y canales telegram que intentan convencer a individuos en occidente para que perpetren ataque en sus países, incluso los disuaden de ir a Siria e Irak con mensajes La menor acción que tu hagas en tu país es mejor y mas beneficiosa para nosotros que lo que harías estando aquí.

Abú Bakr Al Baghdadi, el líder del Estado Islámico ha entendido que si llama al terror el terror viene. Por eso, con esas personas no necesita ningún contacto directo. Su mensaje, que es muy persuasivo basta», dice Riedel. Además, cuando se produce uno de esos ataques, su agencia de noticias, Amaq, se lo atribuye. Días más tarde, en sus revistas de propaganda, como Dabiq, en inglés, los yihadistas hacen reportajes de esos individuos. Así lo hicieron con el terrorista de Orlando y con el matrimonio de San Bernardino. 

Otra característica de los lobos solitarios es que no usan la vestimenta tradicional sino visten poleras con motivos occidentales. Tampoco se restringen para beber alcohol e ir a discotecas a conocer mujeres. No rezan el Corán varias veces al día e incluso algunos practican el islam desde apenas unos meses. Se trata de los nuevos yihadistas millennial’s, aquellos jóvenes entre 18 y 35 años que han perpetrado ataques en Francia, Reino Unido, Bélgica, España y otros lugares.

Este fue el caso de Hasna Boulahcen, la joven de 26 años que se inmoló en el barrio parisino de Saint-Denis con un cinturón de explosivos, en noviembre de 2015. Según la revista española Semanal XL, sólo había utilizado el velo islámico apenas unas semanas. Incluso fumaba, bebía cerveza, había tenido varios novios y se tomaba selfies medio desnuda en la tina de baño. También le gustaba ir a fiestas y todo el día estaba pendiente de Facebook y de WhatsApp.

Lo mismo ocurrió con Mohammed Emwazi, conocido como “John el yihadista”, cuya función de verdugo del Daesh capturó la atención mundial. En un artículo del diario The Times, el periodista Robert Verkaik explicó que el joven londinense, que murió en noviembre de 2015, tuvo una vida bastante normal. Creció en Maida Vale, un pudiente barrio del noroeste de la capital británica, en el seno de una familia que no era fanática religiosa. Asistió a un colegio católico, le gustaba el grupo S Club 7, era hincha del Manchester United y tuvo educación universitaria. Sin embargo, terminó radicalizándose y uniéndose a las filas del Daesh.

Un perfil similar tienen los integrantes de la célula de 12 miembros que atentó en Barcelona y Cambrils. Incluso uno de los detenidos lucía una polera con las siglas de “USA”, algo impensado para un yihadista.

“Los nuevos reclutas del Daesh son millennial’s, tienen una cultura digital y para seducirlos se usa el marketing viral, las redes sociales y el lenguaje audiovisual.

Publicado el

La Amenaza Interna, una de las claves para mitigar los ataques informáticos

La amenaza interna es, un problema real, que aún no recibe la debida importancia por parte de los líderes de seguridad de las organizaciones, para muchos la amenaza interna ni siquiera figura en la lista de las principales prioridades, siendo este tipo de amenaza un fenómeno que las organizaciones no pueden darse el lujo de ignorar.

Los delitos cibernéticos cada vez son más frecuentes y agresivos, causando cuantiosas pérdidas a las organizaciones, estimándose que el 40% de estos ataques tuvieron éxito debido a los actores internos.

Muchas organizaciones realizan verificaciones de antecedentes, riesgo crediticio a sus empleados y nuevas contrataciones, sin embargo, esto no es suficiente en el tiempo, puesto que surgen diferentes eventos en la vida personal de los empleados éticos, que pueden afectar su desempeño y motivarlos a poner en riesgo a la organización para conseguir un beneficio económico.

Lo bueno es que las amenazas internas mantienen un patrón de comportamiento que es observable cuyo factor principal es el estrés. La evaluación continua de los empleados permite minimizar este tipo de riesgo y también puede ser utilizada para detectar otros factores de interés.

Las señales de advertencia no deben ser ignoradas y actuar en forma rápida permite a los líderes de seguridad y RRHH solucionar el problema y evitar que el empleado se convierta en una amenaza interna y ocasione daño a la organización.

Está claro que las organizaciones tienen mucho que perder al ignorar este tipo de amenazas y deben contar con la capacidad para identificar y mitigar, aprovechando la evaluación temprana y continua de los empleados.

Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!