Etiqueta: Seguridad de la información

Publicado el

Pasos de un ataque de Phishing

  1. El delincuente informático hace una lista del personal clave de la organización que tiene acceso a información confidencial que desea.
  2. Busca a los empleados en Facebook y otras redes sociales para conocer sus intereses.
  3. El delincuente informático envía un correo electrónico con un archivo adjunto infectado con malware que despierte el interés de la victima.
  4. El empleado objetivo recibe el correo electrónico, que al ser un tema de su interés accesa al archivo adjunto.
  5. El malware se libera en su ordenador y comienza a enviar copias de todos los documentos y archivos al delincuente informático.
  6. El delincuente informático puede estar en cualquier parte del mundo, recibe la información robada consumándose el ataque.

Publicado el

Fraude del CEO

Este tipo de fraude utiliza la ingeniería social y tiene como objetivo engañar a los empleados de una organización que tienen acceso a los recursos económicos, haciéndose pasar por el CEO que se encuentra en una situación comprometedora fuera de la organización para que paguen una factura falsa o efectúe una transferencia urgente desde la cuenta de la empresa.

Generalmente los estafadores efectúan lo siguiente:

  1. El estafador llama o envía un correo electrónico haciéndose pasar por el CEO, director general, gerente general, etc. de la empresa.
  2. El estafador conoce a la perfección como funciona la organización, procesos y autorizaciones y vulnerabilidades.
  3. El estafador conoce que el CEO , director general, gerente general, etc. se encuentra fuera de la organización.
  4. El estafador solicita que se efectúa un pago o transferencia urgente.
  5. El estafador generalmente utiliza expresiones como Confidencialidad, en este momento no tengo acceso a internet o no estoy disponible, la empresa confía en ti, etc.
  6. El estafador hace referencia a encontrarse en una situación delicada o culminando una adquisición importante para la empresa o proyecto.
  7. El estafador le indica al empleado que el asunto es urgente y acelere u obvie los procedimientos de autorización normados.
  8. El estafador puede hacerse pasar por una tercera persona que este involucrada en el proceso de autorización por via telefónica o correo electrónico, dando las instrucciones de como proceder en este caso.
  9. El Empleado teniendo el supuesto requerimiento urgente del CEO, la llamada o correo electrónico con las instrucciones transfiere la cantidad solicitada a una cuenta controlada por el estafador.

Indicadores de alerta en este tipo de fraude:

  • Llamada telefónica o correo electrónico inusual y no solicitado.
  • Comunicación con un alto funcionario de la organización que por los procesos establecidos u organización normalmente no se interactúa.
  • Demanda confidencialidad y urgencia.
  • Efectúa presion y requiere una pronta solución.
  • Solicitud que no cumple con los procedimientos internos
  • Coacción a quien recibe la llamada o destinatario del correo electronico haciéndolo responsable del perjuicio hacia la persona o empresa por no efectuar lo solicitado, vocabulario adulador con promesas de recompensa como aumento de sueldo, ascenso, etc.
Publicado el

Evolución de los ataques de ransomware

Hoy en día los ataques de ransomware vienen evolucionando, cambiando la modalidad de ataques generalizados por ataques selectivos contra organizaciones y sectores concretos. En esta modalidad los atacantes amenazan con cifrar los datos y además publicar en línea toda la información confidencial, sino se atienden sus demandas del pago dentro del plazo indicado del rescate por la información.

Los ataques de ransomware son unos de los tipos de amenazas graves que enfrentan las organizaciones puesto que, no solo pueden interrumpir las operaciones comerciales, sino que también pueden provocar considerables perdidas financieras y en algunos casos multas y juicios como resultado de violación de las normas y regulaciones. Estos nuevos ataques de extorsión utilizan las conocidas familias de ransomware Ragnar Locker y Egregor con ataques selectivos y adaptados a cada victima. Si la organización se niega a pagar el rescate sus datos confidenciales son publicados, si la victima acuerda con los ciberdelincuentes efectuar el pago y no lo hace también publican la conversación.

Los principales objetivos de Ragna Locker son empresas estadunidenses que desde julio se unió a la familia de ransomware Maze con la finalidad de compartir información robada. Por otro lado, Egregor descubierto en setiembre utiliza tácticas parecidas y comparte similitudes de código con Maze.

Egregor tiene un radio de ataque mas extenso como objetivo América del Norte, Europa y determinadas áreas de Asia-Pacifico, se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, de lo indican un plazo de 72 horas para efectuar el pago por el rescate de lo contrario la información se hará publica.

Las organizaciones deben aplicar buenas practicas de ciberseguridad con la finalidad de prevenir o identificar el ataque antes que se alcance el objetivo final, puesto que cuando el ransomware se despliega, el atacante ya ha reconocido la red, identificado y filtrado la información confidencial.

Algunas Recomendaciones:

  • No exponga los servicios de escritorio remoto a redes publicar y utilice contraseñas robustas.
  • Mantenga el software actualizado en todos los dispositivos que se utilicen.
  • Tenga especial atención con los archivos adjuntos de los correos electrónicos.
  • Utilice soluciones de identificación temprana para detener el ataque.
  • Implemente una estrategia de defensa, detección de movimientos y filtración de datos a internet, trafico saliente, efectúe copias de seguridad periódicas.
  • Capacite y comprometa a todo el personal de su organización.
  • Utilice soluciones de seguridad para endpoint, prevención de exploits, detección de comportamientos y motor de remediación para hacer retroceder las acciones maliciosas.
  • Ponga especial atención a los empleados remotos que actúen como puerta de entrada a la red.
Publicado el

Capacitación, la clave para combatir los ataques cibernéticos

La mejor estrategia para combatir el cibercrimen es tener empleados capacitados. Es fundamental que todos entiendan las amenazas de seguridad, l mentalidad de los ciberdelincuentes para poder defenderse en forma efectiva contra los ataques.

Las organizaciones enfrentan enormes desafíos de ciberseguridad, perdiendo mucho dinero anualmente debido a la violación de datos. Hay que tomar en cuenta que la seguridad cibernética es muy complicada y los atacantes muy creativos, se adaptan rápidamente para poder eludir las defensas. Es una tendencia marcada el crecimiento exponencial del cibercrimen en todo el mundo.

En el intento para controlar las perdidas, las empresas invierten significativamente mas recursos en seguridad informática en forma reactiva, enfocando su tiempo y recursos en tratar de evitar que sus vulnerabilidades sean explotadas, en lugar de evitar que estas existan, tratándolas proactivamente, estrategia real y efectiva que nos ayudara a ganar la carrera contra el cibercrimen.

Se estima que el 90% de las organizaciones consideran que la ciberseguridad es una idea de ultimo momento y sus estrategias de control se centran en remediar si se producen estos ataques en lugar de prevenirlos. Esta mala estrategia causa enormes perdidas, implicando inactividad del sistema, daños a la marca, perdida de confianza de los clientes, así como costos por responsabilidad.

Falta de comprensión y compromiso.

Un obstáculo para adoptar un enfoque proactivo en la seguridad de la información es la falta de capacitación y compromiso por parte de los miembros de la organización, esto se evidencia debido a que los tipos de vulnerabilidades y ataques con algunas variantes son en gran medida los mismos y repetitivos. Esta claro que existe una falta de capacitación tanto del personal de seguridad como para los usuarios en general.

Es prioritario que las organizaciones cuenten con una política efectiva de seguridad de la información, con personal bien capacitado, de igual manera las áreas de RRHH y Seguridad deben poner atención a la amenaza interna verificando al personal.

Publicado el

Errores comunes al realizar un Análisis de Riesgos

Los Análisis de Riesgos son ejercicios muy importantes y eficientes para gestionar la seguridad en una organización, que nos mantienen preparados para las diversas situaciones de crisis que se pueden presentar. Sin embargo, es común la ocurrencia de situaciones negativas en las organizaciones o comunidades para que recién tomen acción para identificar, evaluar y gestionar los riesgos.

Es frecuente observar en las organizaciones diversos factores que condenan al fracaso la gestión de riesgos, lo que compromete la seguridad y la continuidad del negocio. Siendo los mas comunes los siguientes:

  • Compromiso, es indudable que es un factor muy importante donde toda la organización debe estar comprometida, desde la alta dirección hasta el empleado de menor jerarquía. Sin compromiso es imposible gestionar adecuadamente el riesgo y el modelo esta condenado al fracaso.
  • Liderazgo, el responsable del análisis de riesgo debe tener cualidades para trabajar en equipo, ser entusiasta, flexible, positivo y estar abierto a los cambios constantes que puedan presentarse sin que lo desvié del objetivo. Tener una solida experiencia y conocimientos académicos en análisis de riesgos es de suma importancia para el éxito de la gestión, frecuentemente las organizaciones no le dan la debida importancia a esta función, asignando esta responsabilidad en forma colateral o a una persona que no esta capacitada.
  • Equipos de trabajo, en oportunidades puede ser necesario contar con un equipo de analistas que sean receptivos, humildes, observadores, detallistas y orientados a los resultados, estas características de los miembros del equipo contribuirán al éxito de la gestión.
  • Metodología, existen varias metodologías probadas internacionalmente para el análisis de riesgos y estas pueden utilizarse con flexibilidad y márgenes razonables, sin embargo, el mejor método y mas eficiente es aquel que cumpla con las necesidades de la organización.
  • Copiar y pegar, uno de los errores mas frecuentes, utilizar documentos e informes de otras organizaciones y solo copian sin efectuar el análisis correspondiente, cada organización tiene su propia cultura, entorno, amenazas y vulnerabilidades, presentar resultados basados en realidades de terceros, el responsable se vuelve cómplice de las amenazas, puesto que tanto la evaluación como la gestión de los riesgos será errada con niveles de protección de los activos totalmente deficiente.
  • Resultado del análisis, muchas veces se da por sentado que los análisis de riesgos son permanentes, sin contemplar que para la realización de esta actividad están involucrados una serie de factores, cualquier cambio de estos obliga a efectuar un replanteo del informe lo que nos compromete a efectuar revisiones y actualizaciones en forma permanente.

Factores importantes como, la transparencia, ética, técnicas, normas, liderazgo, organización, conocimientos, control y compromiso debidamente incorporados en el análisis de riesgos agregaran valor a la gestión y ayudara a minimizar el riesgo y proteger los activos de la organización.

Publicado el

Amenaza Interna

Detectar la amenaza interna es un gran desafío para las organizaciones ya que compromete la confianza entre la empresa y sus empleados, contratistas y socios, lo cual es difícil de manejar y no darle la debida importancia podría causar graves daños a la empresa, tanto financieros como reputacional por el mal uso de la información.

Mientras intentamos mitigar el riesgo ante una amenaza que afecte a la información, es preciso entender que, los diversos enfoques que podamos adoptar para la seguridad de la información, no tendrán una solución que se adapte a los diversos tipos de ataque.
Tampoco existe un enfoque único que lo solucione todo, por consiguiente para controlar los problemas de seguridad, las organizaciones necesitan una combinación de capacitación permanente, procesos claros, simples, eficientes y disponer de la tecnología existente.

Las empresas vienen invirtiendo miles de millones de dólares en lidiar con la ciberseguridad, según los analistas y expertos en el año 2017 se gasto alrededor de $100 mil millones en la adquisición e implementación de soluciones tecnológicas de seguridad de la información. En el 2018 la cifra se elevo a más de US $114 mil millones y se estima que esta continuara creciendo.

El daño a la organización

Hay muchas maneras en que la amenaza interna puede dañar o afectar al negocio, si tomamos como ejemplo el caso de Edward Snowden, el robo de información militar confidencial y secreta aun continua causando problemas al ejercito de los Estados Unidos y a sus servicios de inteligencia, Snowden como muchas amenazas internas, no hackeó ningún sistema, simplemente copio la información a la que tenia acceso.

Otro caso de importancia fue el de Andrew Skelton auditor interno senior en la cadena de supermercados Morrisons en UK, legalmente tenía acceso a una gran cantidad de información confidencial de los empleados de la empresa. Cuando fue acusado de efectuar un mal uso de los recursos de la compañía, Skelton en represalia filtro información personal (salarios, números de cuentas bancarias, números del seguro social) de mas de 100,000 empleados en la web. El daño resultante a Morrisons fue de mas de 2 millones de libras esterlinas para indemnizar a sus empleados a pesar que la empresa no fue responsable de las acciones de Skelton.

En enero de 2019, el FBI acusó a Jizhong Chen, de nacionalidad china, por el robo de secretos comerciales de Apple. Chen trabajó en el proyecto del coche auto-conducido de Apple y se cree que robo propiedad intelectual clave, la cual pretendía vender a China. Chen tuvo acceso a la información por su trabajo en la empresa.

Un usuario envía un correo electrónico interno con información personal de los empleados, por ejemplo, la nomina de la empresa. Desafortunadamente, escribe la dirección de correo electrónico errada. El resultado es que la información terminan siendo enviada a personas ajenas a la empresa lo cual es una violación a las normas y podría causar contingencias.
Como observamos todas las vulneraciones y perdida de información fueron causadas por usuarios con accesos autorizados (amenaza interna) incentivados por diferentes motivos como; morales, represalias, económicos o por error, por cuanto es preciso controlar los diferentes tipos de amenazas internas que podrían ocurrir.

Existen 5 tipos de amenaza interna:

El Criminal
Esta Amenaza Interna se establece para robar, dañar o destruir información, para obtener beneficios económicos. El objetivo es la propiedad intelectual, listas de clientes o datos financieros. El caso de Jizhong Chen es un ejemplo de un atacante criminal.

El impulsado por la emoción
Estos son empleados que creen que la compañía u otro empleado los ha perjudicado de alguna manera. Tanto Andrew Skelton como Edward Snowden encajan en esta categoría. Ambos tuvieron problemas con sus empleadores, robaron y filtraron datos.

El Presionado
Este empleado tiene deudas, esta siendo extorsionado o participa en actividades ilícitas fuera del trabajo, principales causas de los presionados para robar información.

El Negligente
Son empleados que se niegan a acatar las normas teniendo un comportamiento riesgoso para la seguridad de la información. Sitios que visitan, el movimiento constante de información de la empresa a servicios en la nube inseguros o haciendo clic regularmente en correos electrónicos de phishing.

El Accidental
Son empleados que caen en una trampa de phishing bien elaborada o accidentalmente envían datos confidenciales por correo electrónico a direcciones de correo erradas.

Publicado el

Las amenazas internas representan el mayor peligro para la seguridad de la información

Los empleados cumplen un papel fundamental en la seguridad de la información puesto que como usuarios son los que exponen a las empresas a las diversas amenazas, poniendo en riesgo los datos corporativos. las empresas permanentemente están implementando estrategias que faciliten el intercambio de información, sin embargo, no implementan los suficientes controles, apostando por la confianza en sus empleados en mantener la información segura. Situación que en muchos casos no se cumple y los empleados abusan de la confianza otorgada por el empleador al efectuar malas prácticas, aumentando el riesgo que generalmente no es estimado por el empleador dejando a la organización abierta a la amenaza interna.

Es común observar en las empresas que:

  • Uno de cada tres decisores usa RRSS como Facebook, Twitter, LinkedIn, Instagram, la tercera parte utiliza el WhatsApp y la mitad utiliza el correo electrónico para enviar archivos.
  • Tres cuartas partes de los empleados de organizaciones y más de la mitad de los CEO enlazan con sitios que podrían ofrecer riesgos a la seguridad de la información.

Esto nos demuestra que ningún tipo de empleado está libre de emitir un mal juicio en lo que a seguridad de la información respecta, resultando que el 50% de las infracciones a la seguridad de la información más dañinas sean causadas por los empleados. Muchas veces no se comprende la magnitud del problema y no se toman o se toman en forma tardía acciones para detectar y responder en forma eficaz a las amenazas internas.
Es real que los empleados disponen de la información y esta puede terminar en manos ajenas por diferentes rutas y motivos llegando a hacer daño a la organización.
De igual manera se debe tener control sobre los empleados que cesan en sus funciones ya que es frecuente observar que se llevan información confidencial, comercial u operativa, que muchas veces es mal utilizada. Así mismo, igual preocupación se debe tener con los nuevos empleados ya que estos traen información de sus organizaciones anteriores que pudiera estar contaminada.

Se conoce que:

  • El 63% de las personas ingresan a sus nuevos trabajos trayendo información de su anterior empleador.
  • La mayoría de empleados se sienten con derecho a la propiedad personal sobre su trabajo con la aceptación de los líderes de seguridad de la información ya que consideran que es su trabajo y sus ideas.

La información de las organizaciones está permanentemente en riesgo y las diversas soluciones de prevención adoptadas no demuestran ser efectivas para proteger datos importantes como las listas de clientes, códigos, manuales operativos, datos de los empleados de la amenaza interna.

Se conoce que:

  • El 70% de las organizaciones fueron afectadas por la amenaza interna.
  • El 80% de los líderes de la seguridad de la información indican que las soluciones adoptadas no suficientes para neutralizar la amenaza interna.

Muchas organizaciones no son conscientes del empoderamiento de sus empleados en relación al cargo que ocupan y la información que disponen, por lo que es preciso implementar capacitaciones y comprometer a todos en la seguridad de la información. Las amenazas internas son reales y una de las mayores causas de pérdida o mal uso de la información corporativa, por lo que, no tomar acción con este tipo de amenaza mantendrá un riesgo latente en la perdida de información que puede generar infracciones y causar daños financieros y reputacionales catastróficos.

Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!