Alt1040. Noticias acerca de Internet, diseño, música, cine, opiniones, weblogs y medios

Es uno de los weblogs de tecnología más seguidos de la blogosfera hispana.

Bitelia. Blog de software, internet y servicios web

Software y aplicaciones para mejorar tu vida, guías de uso, trucos, listas, noticias y todo sobre tecnología.

Xataka. Publicación de noticias sobre gadgets y tecnología.

Últimas tecnologías en electrónica de consumo y novedades tecnológicas en móviles, tablets, informática, etc.

Wwwhatsnew. Aplicaciones, marketing y noticias en la web.

Servicios que os pueden ser útiles para dibujar, gestionar tareas, hacer amigos, encontrar restaurantes...

Fayerwayer. Discusiones y opiniones de lo ultimo en tecnología y gadgets

Con secciones dedicadas a Internet, Software o Redes Sociales es un referente a nivel de tecnología en español.

Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas

12 de noviembre de 2020

Seguridad en la nube: mitos y realidades

Cloud Security

Las tecnologías en la nube ofrecen a las organizaciones en cada sector ventajas en cuanto a costo y eficiencia, pero aún persisten varios mitos acerca de la seguridad de los datos.


La necesidad de reducir costes y aprovechar las nuevas características y capacidades son fuertes impulsores para la migración de soluciones locales a la nube.

La tendencia actual de adopción de la nube sugiere que muchas empresas están aplicando un enfoque equilibrado de actividad on cloud apostando por una estrategia híbrida de público y privado.

A medida que continúa la migración a la nube y las organizaciones se benefician de la agilidad que brindan las soluciones en este espacio, se han generado varios aspectos negativos en gran parte por la inexperiencia trabajando con soluciones cloud.


Cloud Security



Mito n.º 1: la nube no es segura


Cuando se utiliza de manera adecuada, la nube es tan segura como un centro de datos típico.

La nube en sí no es intrínsecamente insegura.
Cuando se descubren evidencias de seguridad, en la mayoría de los casos, son debidas a una configuración de nube incorrecta o código de cliente vulnerable pero no a fallos de seguridad en la propia nube, en el software o la infraestructura del proveedor.

Las grandes organizaciones parecen tener menos confianza sobre la seguridad de sus datos en la nube pública en comparación con las pymes. Esta incertidumbre es alimentada por la creencia de que existe una gran complejidad en la red de servidores conectados, en la migración a la nube y aplicaciones heredadas que son incompatibles con los entornos o servicios cloud.

El 94% de los pequeños negocios señaló ventajas de seguridad después de migrar a la nube (Microsoft. Driving Growth Together: Small Business and the Cloud).

Mito n.º 2: mi organización no usa la nube


El término "cloud" incluye la categoría de software como servicio (SaaS) y prácticamente todas las organizaciones utilizan algún tipo de servicio web, ya sea en el sector de recursos humanos, banca, eCommerce, marketing, alojamiento web o cualquiera de las demás actividades que se realizan en los negocios actuales. Incluso si la política organizativa no permite explícitamente servicios on cloud o no hay evidencia manifiesta de uso de estos servicios, su negocio aún puede depender de la nube.

Es posible que su organización actualmente no almacene datos en la nube pero si es un cliente de banca en línea o usa servicios de alojamiento web, lo que hace, de hecho, es acceder a las tecnologías de la nube.

Para finales de este año, se prevé que el 83% del total de cargas de trabajo empresariales de EE.UU. estará en la nube (Forbes. 83% of Enterprise Workloads Will Be In The Cloud By 2020).

Mito n.º 3: el proveedor de la nube me mantendrá seguro


Bajo el modelo de responsabilidad compartida, el usuario de la nube es es el responsable final de proteger sus datos.

El proveedor de la nube garantiza que el hardware no esté comprometido y el software y sistemas operativos de cualquier servicio ofrecido sean seguros. Pero es el cliente el que tiene que comprobar que las máquinas virtuales estén parcheadas, las aplicaciones no sean vulnerables y los permisos correspondientes sean los apropiados.

El proveedor de la nube constata que las instalaciones del centro de datos son seguras pero su organización tiene la responsabilidad de salvaguardar sus datos específicos.

Modelo de responsabilidad compartida:

  • Cliente: es el responsable de la seguridad de los datos "EN" la nube.
  • Proveedor: es el responsable de la seguridad "DE" la nube.

En 2022, al menos un 95% de los fallos en la seguridad cloud será por culpa del cliente (Gartner. Clouds Are Secure: Are You Using Them Securely?).

Mito n.º 4: la nube es solo la computadora de alguien más


La nube no es una única computadora.
En la nube, es posible que una solicitud informática se distribuya a cientos o miles de computadoras.

Hay servicios de almacenamiento on cloud, contenedores y otros servicios no tradicionales a considerar además de las máquinas virtuales.

La configuración y controles de seguridad para estos servicios no usará implementaciones de seguridad tradicionales como firewalls y software antivirus. Además, estos servicios suelen utilizar un conjunto de APIs para comunicarse entre aplicaciones por lo que los conceptos de direcciones IP y sistemas operativos a menudo no se aplican.

Hay requisitos de visibilidad adicionales y una mayor planificación necesarios para proporcionar controles de seguridad e instrumentación de computadoras distribuidas.

Por ejemplo, si una aplicación procesa fotos subidas por un usuario y un atacante envía una avalancha de fotos no solicitadas para procesarse, la aplicación puede escalar asumiendo el propietario de la aplicación los costes adicionales.
La infraestructura de la nube puede poner límites para ayudar en casos como este, pero deben entenderse bien y configurarse por adelantado.

Mito n.º 5: los adversarios avanzados no atacan la nube


Los atacantes persiguen los datos. A medida que los datos ingresan a la nube, también lo harán los atacantes.

La organización media puede moverse más rápidamente y reducir costes operando en la nube, pero debe entender que cualquier activo de valor que ubiquen allí será un objetivo y deben proteger los recursos en consecuencia.

Esto significa que no solo se deben implementar las mejores prácticas para la seguridad on cloud sino también ser conscientes del aumento de la actividad por parte de atacantes avanzados que buscan datos en la nube.

La mitigación de amenazas en la nube requiere dos aspectos fundamentales:

  • telemetría de datos sobre los que aplicar operaciones de seguridad.
  • modelos de amenazas que determinen qué herramientas, tácticas y procedimientos de los adversarios deben ser abordados y mitigados.

Y a su vez se pueden dividir en cuatro categorías de capacidades:

  • Inteligencia: aplicación de indicadores de inteligencia de amenazas.
  • Reglas: aplicación de patrones de amenaza conocidos.
  • Analítica: organización de la telemetría para mostrar anomalías.
  • Hunting: búsquedas basadas en hipótesis.

Aproximadamente 1/4 de las investigaciones de respuestas ante incidentes involucra activos alojados en una nube pública.

Con las altas expectativas a nivel mundial para los servicios de cloud pública, se espera que el mercado crezca y es hora de desmitificar estas falsas creencias para que las organizaciones puedan obtener visibilidad y tomar el control de sus operaciones en la nube.




24 de agosto de 2020

Los mejores podcast de ciberseguridad

Podcast
El podcasting o podcast consiste en la distribución de archivos digitales de audio que un usuario puede descargar para copiar y escuchar en un dispositivo personal posteriormente a su difusión original y que permite suscribirse de manera opcional. Fuente: Wikipedia


Durante años, los podcasts de seguridad de la información han sido un medio popular para cubrir noticias de seguridad, estar al día de las amenazas más frecuentes, aprender sobre incidentes recientes y todo lo que necesitas saber para mantenerte informado en el campo de la seguridad digital.

Para estar al día sobre lo que acontece en el sector de la ciberseguridad, paso a citar algunos de los podcast en castellano más interesantes.


Tierra de Hackers
https://www.tierradehackers.com/

Tu noticiero de ciberseguridad hecho podcast - Por Martin Vigo y Alexis Porros.

“Notas y referencias de episodios: tierradehackers.com”


Cosas de Hackers
https://www.ivoox.com/cosas-hackers_sq_f1876480_1.html

El Podcast más canalla sobre CiberSeguridad & Transformación Digital - Presentado por @Avalos_Morer y @TheXXLMAN.

“Cosas de Hackers - 100% independiente!”


Securizando
https://securizando.com/category/podcast/

Podcast sobre seguridad informática por un ingeniero de redes - @securizando_.

“Aquí encontrarás explicaciones, lo más claras posibles, sobre qué es qué y cómo funciona el mundo de la seguridad informática”


Seguridad Overflow
https://seguridadoverflow.com/c/podcast/

Seguridad informática y blockchain acompañado de tonterías pseudoaleatorias.

“Un podcast-blog casero sobre seguridad informática y criptomonedas (principalmente Bitcoin Cash)”


Palabra de Hacker
https://www.ivoox.com/podcast-palabra-hacker_sq_f1266057_1.html

Palabra de hacker, ciberseguridad de tú a tú by Yolanda Corral. Síguelo en Twitter en @Palabradehacker y descubre toda la información en la web: https://www.yolandacorral.com/palabra-de-hacker

“Está dedicado al mundo de la seguridad informática donde el verbo hackear y el sustantivo seguridad se dan la mano para aprender con los mejores profesionales y construir entre todos una red más segura”


#ElevenPathsRadio
https://www.ivoox.com/podcast-elevenpathsradio_sq_f1715143_1.html

Un podcast en el que podrás escuchar interesantes entrevistas con las voces más relevantes del sector de la ciberseguridad y la actualidad más destacada analizada por nuestros Chief Security Ambassadors.

“Los mejores contenidos sobre transformación digital, ciberseguridad, cloud, Big Data e IoT para empresas, ofrecidos por Telefónica”


Ocho Punto Ocho
https://www.ivoox.com/podcast-ocho-punto-ocho_sq_f1574483_1.html

Porque la convención de hackers más relevante de Latinoamérica encuentra un puerto en Radiodemente y Gabriel Bergel, nuestro sombrero blanco, nos enseñara y mostrará todo lo relacionado al mundo de la ciberseguridad..

“Espacio para hablar de cultura Hacker.
Ocho punto Ocho, cada miércoles a las 21 hrs y se repite los jueves a las 18 hrs y los domingos a las 16 hrs..”



CiberSeguridad al Día
https://www.ivoox.com/podcast-ciberseguridad-al-dia_sq_f1492913_1.html

El podcast "Ciberseguridadal día" está enfocado a desarrollar esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad - By Carlos Solís Salazar.

“Es un programa de profesionales para profesionales… y para toda persona que esté interesada en saber algo más o compartir sus conocimientos sobre un concepto tan amplio como es el de la seguridad.”



9 de abril de 2020

8 consejos sobre ciberseguridad durante el periodo de teletrabajo

Homework
La crisis actual del COVID-19 ha causado un incremento exponencial en el número de personas que trabajan desde casa para proteger la salud colectiva. Lo que conlleva un incremento en el riesgo en términos de Ciberseguridad.

Esto está causado fundamentalmente por dos factores:

  • La redistribución de los lugares de trabajo a espacios fuera de la oficina y el incremento en el uso de plataformas virtuales de colaboración ha ampliado sustancialmente la superficie de exposición y ataque. Esto puede amenazar la infraestructura digital de la que ahora dependemos más que nunca para dar continuidad al negocio. Puede incluso amenazar la infraestructura crítica y el suministro de servicios críticos si no se gestiona de forma proactiva.

  • La crisis del COVID-19 proporciona a los atacantes nuevas oportunidades de realizar ataques específicos, como pueden ser ataques mediante correos de phishing o de fraude dirigido. Estas tácticas tienen como objetivo aprovecharse de los ciudadanos que están lógicamente preocupados por su salud y protección en un momento en el que pueden ser especialmente vulnerables.


Homework

(Designed by Freepik) - www.freepik.com

En definitiva, el primer paso empieza en nosotros mismos: mantente alerta para permanecer a salvo y seguro.
Para ello, sigue estos 8 consejos sobre ciberseguridad durante el periodo de teletrabajo:

1. Lleva a casa únicamente los dispositivos e información que sea absolutamente imprescindible


La mejor manera de proteger la información o los dispositivos frente a pérdida es en primer lugar, no sacarlos de su entorno corporativo habitual. De esta forma, se evita el riesgo de pérdida en el trayecto o en casa.

Asegúrate por tanto de que solo llevas a casa los dispositivos e información que realmente necesitas.

2. Protege tu red doméstica y utiliza conexiones seguras


Dado que vas a estar usando tu red privada doméstica, debes protegerla de forma adecuada con un cifrado WiFi robusto y una contraseña única y compleja, así como manteniendo las correspondientes actualizaciones.

Trabaja siempre a través de una conexión segura, estableciendo si es necesario una conexión VPN (URA), especialmente si estás transmitiendo información sensible o estás accediendo a la red corporativa interna.

3. Mantén actualizado el software de todos tus dispositivos


Cuando trabajas desde casa, tus dispositivos personales y los dispositivos corporativos están usando la misma red doméstica. El tráfico de datos pasa a través del mismo router al que están conectados otros dispositivos domésticos inteligentes que, en el peor de los casos, podrían no tener una protección actualizada.

Todo ello puede ser un punto de entrada para los intrusos, por lo que se recomienda que permitas que todos los dispositivos conectados a tu red doméstica, tanto corporativos como personales, se actualicen automáticamente.

4. Apaga la función de control por voz en dispositivos domésticos inteligentes, y cubre la webcam cuando no la estés usando


Los asistentes de voz escuchan lo que se dice en la habitación y lo envían al proveedor correspondiente. La posibilidad de que esas grabaciones terminen cayendo en malas manos no debe descartarse.

Por tanto, ese tipo de dispositivos no deberían estar presentes en habitaciones en las que se discutan asuntos importantes o confidenciales o al menos deberían estar apagados.

Y asegúrate de cubrir la webcam de tu PC cuando no la estas usando, así como de tener cuidado de lo que se comparte cuando está activa.

5. No mezcles el uso personal y corporativo de los dispositivos


Haz una clara distinción entre dispositivos e información dedicados a negocio y los del ámbito personal.

No transfieras datos del ámbito de trabajo a los dispositivos personales. Esto evitará cualquier fuga accidental de información.

Como efecto secundario, ayuda también a la separación psicológica entre el tiempo "de trabajo" y el tiempo "personal".

6. Cierra la sesión cuando dejes de usar los dispositivos y guárdalos de forma segura


Incluso cuando estés haciendo un breve descanso, bloquea la pantalla de tu PC y del móvil, tal y como harías en la oficina, para que no queden accesibles durante tu ausencia.

Y, por supuesto, es necesario seguir protegiendo en todo momento los dispositivos frente a un acceso no autorizado o incluso robo también mientras están en casa, fuera de la oficina.

7. Identifica proactivamente a todos los participantes en las reuniones en línea


Las herramientas de videoconferencia son un excelente sustituto de las reuniones presenciales. Al mismo tiempo, sin embargo, puede ser más difícil verificar si todos los que aparecen conectados han sido realmente invitados.

Puede ser relativamente sencillo que personas no autorizadas que hubieran obtenido el número de teléfono y código de conferencia se conecten a reuniones con un alto número de participantes.

Por este motivo es recomendable que cualquiera conectado a un conferencia se identifique brevemente, así como comprobar si hay algún asistente no identificado, especialmente si se discuten asuntos sensibles o al mostrar la pantalla en modo de presentación.

8. Se extremadamente cauto con correos sospechosos o ficheros adjuntos, especialmente si no conoces al emisor


Especialmente en el entorno doméstico y durante el teletrabajo, es necesario mantenerse alerta frente a correos maliciosos.

Se han realizado estudios que muestran que la probabilidad de caer víctima de este tipo de ataques maliciosos es más alta cuando se trabaja desde casa.

Adicionalmente, no caigas en la trampa de precipitarte al recibir emails que requieren alguna acción extraña urgente o con noticias no contrastadas sobre la actual crisis del COVID-19. Dedica un tiempo prudencial a revisar en detalle estos emails antes de hacer clic en cualquier enlace o abrir cualquier adjunto.



24 de enero de 2020

El CISO y la ciberseguridad

Chief Information Security Officer
El papel del CISO (Chief Information Security Officer) ha aumentado en escala, alcance e importancia durante la última década, pasando a formar parte de las filas de la dirección ejecutiva de muchas organizaciones.


La creciente complejidad de las redes de IT, la mayor sofisticación de las amenazas y el auge del coste de la ciberdelincuencia se suman a un rol de CISO que puede llevar a un negocio al éxito o al fracaso.

El CISO desempeña una función cada vez más importante en la gestión ejecutiva, con la responsabilidad de proteger los entornos locales, de nube, de tecnología operacional (OT) y de DevOps. Entre sus cometidos se incluye ahora también la seguridad física.

Artifial Intelligence
(Designed by Freepik) - www.freepik.com


1. Introducción


El puesto de Chief Information Security Officer (CISO) existe desde hace tan solo 25 años y hace mucho menos tiempo en la mayoría de las organizaciones.

A pesar de ello, la definición de esta función ha variado continuamente desde el principio. En su mayor parte, esta evolución se ha producido hacia la incorporación de responsabilidades en lugar de sustituir una responsabilidad por otra.

Los CISO ahora deben interactuar a menudo con líderes como el CFO, el CEO e incluso la junta directiva.

La ciberseguridad se ha convertido en un elemento cada vez más crítico para el balance final de muchas organizaciones, y los riesgos y costes asociados han aumentado drásticamente en la última década. Por ejemplo, el estudio The Cost Of Cybercrime revela que los delitos cibernéticos costaron a la organización típica 13 millones de dólares en 2018, un 12% más que en 2017 y un 72% más en un período de cinco años.

Los factores que intervienen son:

  • Una superficie de ataque ampliada: las iniciativas de transformación digital (DX) que se están llevando a cabo en la mayoría de las organizaciones han aumentado la complejidad de las redes de IT, y su protección es igualmente complicada. Los datos y las aplicaciones de una empresa ahora se encuentran en múltiples nubes, el tráfico de la red a menudo viaja a través de la Internet pública mediante tecnologías de red definidas por software (SDN) y grandes volúmenes de nuevos datos se originan en dispositivos del Internet de las cosas (IoT) que a menudo carecen de una protección de seguridad adecuada. A medida que estas tecnologías aparecen en línea, los equipos de seguridad habitualmente luchan por protegerlas.

  • Aumento de la complejidad de la seguridad: a medida que las redes se vuelven más complejas, la tarea de protegerlas resulta más difícil. El volumen de datos aumenta a un ritmo alarmante y a menudo es difícil identificar todos los datos confidenciales y críticos para la empresa, por no hablar de su protección. Los requisitos de cumplimiento se han vuelto más complejos y una arquitectura de seguridad con herramientas desagregadas hace que resulten más complicados tanto los informes de cumplimiento como la respuesta frente a las amenazas.

  • Un panorama de amenazas que cambia rápidamente: los ciberdelincuentes utilizan enfoques muy sofisticados y las amenazas desconocidas aumentan en frecuencia y alcance. La velocidad de los ataques también se está acelerando y la filtración de datos corporativos se produce ahora en cuestión de minutos. Las redes ampliamente distribuidas que resultan de la DX implican que los enfoques basados en el perímetro para la seguridad de la red se han quedado obsoletos. Además, los enfoques basados en firmas para la detección de malware pasan por alto el gran número de amenazas de día cero.


Como resultado, los CISO ya no pueden permitirse el lujo de ser simples tecnólogos, sino que deben convertirse en impulsores de la estrategia empresarial.

Deben ir más allá de las comprobaciones de cumplimiento y adoptar un enfoque amplio basado en la estrategia general de gestión de riesgos de una organización. Además, tienen que ampliar el enfoque de soluciones menores para cubrir la superficie de ataque y adoptar una postura integral y proactiva como respuesta a las amenazas.

2. Tendencias de la ciberseguridad según el CISO


El CISO tiene un papel cada vez más importante en la gestión ejecutiva, con un número de responsabilidades cada vez mayor que incluye la seguridad en la nube, la seguridad del IoT, las operaciones de seguridad, la formación en ciberseguridad, las normas y auditorías, y la privacidad de los datos.

Al CISO se le mide por métricas de productividad y de seguridad, y realiza un seguimiento de las tendencias generales de manera interna.

El CISO tiene una gran confianza en la posición frente a amenazas de su organización, pero tiene que hacer frente a procesos manuales y depende de ayuda externa como MSSP (Managed Security Service Provider).

Los CISO todavía sufren un número importante de intrusiones que tienen un impacto tangible en sus negocios.

3. Desafíos clave para los CISO


Los ciberdelincuentes y otros atacantes son los desafíos más importantes para los CISO.

La complejidad es el mayor reto y está originado por una superficie de ataque en expansión.

Los servicios en múltiples nubes, la conectividad móvil, la proliferación de dispositivos de IoT y SDN aumentan la complejidad de la red. Este es el origen de otros desafíos comunes citados, como la creciente necesidad de aprendizaje y desarrollo, y la proliferación de herramientas de seguridad.

Se necesitan más oportunidades de aprendizaje y desarrollo para los equipos de seguridad.

4. Conclusión


Los CISO son cada vez más importantes para el éxito de sus organizaciones. Así, han aumentado su estatus en la organización, además de sus responsabilidades.

Los CISO que siguen sufriendo intrusiones importantes pueden aprender de las siguientes prácticas recomendadas:

  • Aumento de la inversión en ciberseguridad en respuesta a un panorama de amenazas cada vez más complejo.
  • Adopción de un enfoque de gestión de riesgos respecto a la ciberseguridad.
  • Medición del rendimiento de la ciberseguridad frente a las referencias y las organizaciones similares.
  • Implementación de una arquitectura de seguridad integral con visibilidad y protección plenos frente a amenazas conocidas y desconocidas.

Además, a medida que el trabajo de los CISO se vuelve cada vez más complejo, el mejor enfoque que pueden adoptar es simplificar las operaciones a través de la integración y la automatización. Un enfoque estratégico basado en la gestión de riesgos permite a las organizaciones ser más proactivas que reactivas con la ciberseguridad.


3 de enero de 2020

Introducción a la seguridad en plataformas móviles (2ª parte)

Smartphone Security
Cuando se trata de terminales y ecosistemas móviles, existen fronteras que se desdibujan con respecto a las ideas tradicionales que se acostumbran a aplicar en redes de ordenadores y servidores; circunstancia especialmente dada por el hecho de que los terminales móviles poseen una movilidad absoluta, y no están físicamente atados a una oficina o similar.


Por tanto, los principios de seguridad física que normalmente se aplican en un puesto de trabajo y que por extensión recaían en la seguridad de los dispositivos que había dentro de ella, pasa ahora a ser insuficiente.

Generalmente se acepta el hecho de que el activo más importante que un individuo o persona posee en sus dispositivos es su información. Con ella, un atacante puede sacar partido económico o dañarnos de algún otro modo. En el caso de particulares, las venganzas digitales son cada vez más comunes, robando fotos y otras informaciones sensibles y comprometidas para publicarlas on-line.

En el de corporaciones, el espionaje industrial tradicional se agudiza con las nuevas herramientas digitales, y las brechas de información relativa a las tarjetas de crédito de los clientes se convierten en un riesgo muy serio que hay que evitar.

Como podemos suponer, las repercusiones en el mundo "real" a partir de un compromiso "digital" son inevitables ante supuestos como estos.

También podemos observar el caso inverso, donde un compromiso que empieza siendo "físico", como el robo o extravío (aunque sea temporal) de terminales, puede servir de vector de entrada para un robo de datos digitales por parte de un actor malicioso.

En el caso de que dichos datos o el terminal estén cifrados y dicho cifrado esté protegido usando mecanismos como el PIN y las claves personales, las probabilidades se minimizan.

Passcodes


Pocas cosas son tan críticas hoy en día como que la información que los usuarios guardan en sus dispositivos móviles (datos personales, contraseñas, datos bancarios, certificados digitales, etc.) se vea comprometida.

En caso de pérdida o robo de un smartphone o tablet, es importante poder garantizar que la información almacenada en él acabe en manos de otra persona.

Y una de las primeras barreras para evitarlo es la activación del bloqueo de pantalla del dispositivo utilizando un passcode.

A día de hoy, las principales plataformas móviles implementan tres tipos diferentes de passcodes:

PIN

Se trata del típico código personal de cuatro dígitos numéricos también utilizado para desbloquear las tarjetas SIM o permitir el pago mediante una tarjeta de crédito.

Son muy fáciles de recordar, pero sin embargo, en el caso de los dispositivos móviles, el PIN debería estar en desuso, ya que se trata de un número de cuatro dígitos (0000-9999) muy vulnerable a ataques por fuerza bruta.

Si el dispositivo cae en manos de una persona con ciertos conocimientos de informática no tendrá problema en hackearlo.

Contraseña

Otro tipo de passcode es la contraseña (password); más segura que el PIN, pero al ser de longitud variable y seleccionada por el usuario puede tener debilidades similares.

Se trata de un passcode alfanumérico que también puede contener caracteres especiales. Para garantiza un nivel de protección óptimo, toda contraseña debería tener una longitud mínima de entre 8 y 10 caracteres, contener letras mayúsculas y minúsculas, números y algún carácter especial.

Por este motivo muchas plataformas, aplicaciones, servicios, etc., exigen que las contraseñas que eligen los usuarios cumplan ciertos patrones (longitud y tipo de caracteres).

Patrón de deslizamiento

El tercer tipo de passcode es relativamente moderno, ya que apareció con el uso de las pantallas táctiles capacitivas, aunque no es tan seguro como una buena contraseña.

Se trata de definir un patrón de deslizamiento sobre la pantalla del dispositivo con el fin de unir algunos (mínimo cuatro) de los nueve puntos que se muestran (3x3).

A nivel de código cada uno de los puntos está numerado de izquierda a derecha y de arriba abajo (0-8), así que el patrón es codificado indicando los puntos por los que se pasa el dedo.

Un patrón puede pasar sobre uno de los nueve puntos más de una vez, pero únicamente se considerará el primer paso.

Expiración e historial de reutilización


Una medida de seguridad que a veces adoptan las plataformas móviles y hacen habitualmente muchos servicios que autentican a los usuario mediante passcodes, es la de dotar a los passcodes seleccionados por los usuarios con un tiempo de vida útil.

De esta forma, pasado dicho tiempo, el usuario está obligado a cambiar su passcode.

Esta medida puede proporcionar muchas ventajas, ya que evita que los usuarios utilicen una misma contraseña para la mayoría de sus cuentas, dispositivos, etc.; y como consecuencia, en caso de expolio de los passcodes de la base de datos de otro servicio, un atacante no obtiene acceso a tu dispositivo, a otra aplicación o servicio, etc.

Siguiendo esta misma línea, en ocasiones también se añade una medida de seguridad más, obligando a los usuarios a no poder repetir un passcode ya utilizado anteriormente a la hora de realizar un cambio. En este caso el sistema operativo, la aplicación, etc., guarda un registro con los últimos n passcodes utilizados por el usuario y antes de realizar un cambio consulta si se trata de un passcode reutilizado.

Obviamente, desde el punto de vista del usuario, estas medidas le estarán complicando un poco la vida, pero hay que pensar que se introducen por su seguridad.

Intentos máximos de uso


Con la intención de evitar que un atacante adivine un passcode a base de realizar n intentos de autenticación (ataque por fuerza bruta), las plataformas móviles suelen limitar el número de intentos fallidos que se pueden realizar.

De esta forma, alcanzado ese número máximo de intentos sin éxito, el dispositivo normalmente quedará bloqueado; aunque hoy en día también hay casos en los que se puede configurar un autoborrado total de la memoria del dispositivo como una medida de seguridad avanzada.

Ataques


El ataque más simple, y que a priori puede parecer inverosímil, se basa en estudiar las marcas físicas que hay sobre la pantalla del dispositivo a atacar.

Se llama Smudge Attack, y se suele llevar a cabo realizando una fotografía de la pantalla del dispositivo y jugando con los colores, brillos, y el negativo de la misma. Aunque no lo parezca, se pueden obtener muy buenos resultados. Por desgracia, aparte de las manchas que los usuarios dejan en las pantallas de sus dispositivos, también son muchos los bugs conocidos que tienen las plataformas móviles y que permiten que un atacante pueda saltarse la verificación del passcode.

No todos los bugs permiten el mismo nivel de acceso, y prácticamente ninguno acceso total; pero así mismo, algunos permiten acceder a los contactos del usuario, otros al historial de llamadas, a las fotos guardadas en memoria o a la aplicación de llamada. Por lo que una vez más, vemos que conviene mantener nuestros dispositivos actualizados y protegidos de la mayoría de estos bugs.

Muchas versiones de las plataformas móviles han sido y son vulnerables a ataques por fuerza bruta por culpa de otras vulnerabilidades.
Algunos dispositivos de Apple permiten realizar un ataque por fuerza bruta mediante el uso de un teclado físico conectado al dispositivo (o un software que lo emula).

Después de varios intentos fallidos el sistema operativo iOS deshabilita el teclado virtual del dispositivo, pero no así el teclado físico conectado a él.

Tener habilitada la opción de borrado tras 10 intentos fallidos podría dificultar el ataque. Sin embargo, la vulnerabilidad CVE-2014-4451 hace que esta medida de seguridad sea inútil.

El siguiente vídeo muestra cómo un atacante puede desbloquear un iPhone en unos 30 segundos utilizando la herramienta IP BOX basada en las vulnerabilidades que acabamos de comentar: https://www.youtube.com/watch?v=meEyYFlSahk

Alternativa biométrica


Una de las alternativas más seguras a los passcodes, y que ya empezamos a ver con frecuencia en el mercado, es el uso de la biometría; reconocimiento facial, de la huella dactilar, del iris, de la voz, etc. Aunque por ahora, lo más utilizado en dispositivos móviles para identificar de forma inequívoca al usuario son los sensores de huella dactilar.

Los dos pioneros en este campo fueron el Touch ID de Apple y el Finger Scanner de Samsung, en este orden. Dos lectores capacitivos que proporcionan un alto nivel de seguridad y usabilidad.

Al ser capacitivos no pueden ser engañados mediante el uso de fotografías, y además son capaces de distinguir las huellas dactilares incluso teniendo el dedo sucio, pintado o con manchas (siempre hasta cierto punto, claro está).

Los datos biométricos del usuario se deben guardar en zonas de memoria seguras. Obviamente, lo ideal sería guardar cierta información relacionada con el dato biométrico, permitiendo autenticar al usuario, pero garantizando que no se pueda realizar la operación inversa y obtener la huella a partir del dato almacenado.

En el caso del Touch ID, Apple no guarda la imagen de la huella dactilar, sino que guarda una representación matemática de la misma. Además, estos datos se guardan en el enclave seguro (Secure Enclave) dentro del chip A7 y posteriores, los cuales únicamente son consultados por el propio chip y no por el sistema operativo (iOS) o las aplicaciones.

En el caso del Finger Scanner, Samsung también guarda un patrón parcial de la huella, de forma que se pueda reconocer una huella de forma inequívoca.

Esta información se guarda en el entorno de ejecución de confianza [Trusted Execution Environment (TEE)] y en ningún caso sale de él. El TEE es el mecanismo de seguridad basado enhardware que utiliza la plataforma Android.

El hecho de desbloquear un smartphone o tablet utilizando tu huella dactilar permite que el dispositivo te identifique automáticamente como persona, ya que un rasgo biométrico es único de cada usuario y un passcode lo puedes compartir con más personas.

Por tanto, a partir de este momento se abre un amplio abanico de posibilidades a la hora de proporcionar seguridad a ciertas operaciones, o mejorar la usabilidad del sistema.

En el caso de Samsung, la primera utilidad que se le dio al sistema de escaneo de huella dactilar, aparte de la de desbloquear los dispositivos, fue la de autenticar al usuario en su cuenta de Samsung.

A partir de ese momento, otros muchos servicios siguieron el ejemplo, lo cual proporciona seguridad y usabilidad:

LastPass (gestor de contraseñas online)

Es un caso concreto de uso del Finger Scanner para autenticar al usuario en una aplicación/servicio de terceros.

FingerSecurity

Es la primera aplicación que permite utilizar el Finger Scanner para proteger las aplicaciones instaladas que tú elijas.

Paypal

El caso de uso estrella es la posibilidad de pagar tus compras con PayPal solo pasando tu huella dactilar por el lector de tu dispositivo.


Smartphone
Background vector created by starline - www.freepik.com



Información extraída del Máster en "Ciberseguridad" desarrollado por Deloitte




28 de diciembre de 2019

Introducción a la seguridad en plataformas móviles

Smartphone Security
Cada plataforma móvil necesita un análisis independiente de sus características, no solo a nivel de arquitectura de dispositivo y de software; los ecosistemas de aplicaciones a los que están conectados los terminales, así como las políticas por las que se rigen, desempeñan un papel fundamental en el nivel de seguridad y privacidad final del usuario.


Por lo que respecta a las amenazas y problemas de seguridad, básicamente hay cinco elementos clave que conviene entender. Estos sirven como modelo básico sobre el cual se articulan la mayor parte de tareas y objetivos relacionados con la gestión de la seguridad y las amenazas a la misma.

1- Prevención


La primera tarea que tiene un gestor de la seguridad (entendiéndose por gestor cualquier profesional que tenga diferentes posiciones dentro del sector de seguridad de un organigrama de empresa, no solo a los operadores y técnicos, sino a los directivos/ejecutivos) y una de las que más tiempo y energía consume es la prevención.

Probabilidades de amenaza

La prevención de amenazas implica cualquier tarea o proceso que se deba hacer periódicamente y cuya realización tenga como consecuencia un descenso de las probabilidades de amenaza.

Las probabilidades de amenaza intentan proporcionar referencias cuantitativas (es decir, lo más concretas y medibles posible), para medir las probabilidades de que determinadas amenazas impacten contra nosotros o nuestra empresa.

Aplicando el caso tradicional del antivirus, que es una herramienta de seguridad por todos conocida, el hecho de que tengamos un antivirus instalado disminuye considerablemente las probabilidades de que alguna de las amenazas de malware que ya son conocidas por los laboratorios de malware pueda impactar contra nuestros sistemas.

Además, cada vez que estamos actualizando el antivirus con nuevas definiciones de malware, estamos manteniendo esas probabilidades lo más bajas posible, ya que constantemente aparecen nuevas amenazas y el hecho de permanecer estáticos implicaría en realidad una pérdida de protección y un aumento de las probabilidades de que nos impacte una amenaza.

Vectores

La prevención también pasa por aplicar y forzar el cumplimiento de determinadas políticas o directivas de uso y de configuración de los sistemas, de manera que los usuarios no pueden abrir la puerta (abrir nuevos vectores) a determinadas amenazas o no puedan provocar problemas de seguridad de forma intencionada o no intencionada.

Por "vectores" entendemos todos y cada uno de los elementos que están expuestos a amenazas y que aumentan las probabilidades de que pueda tener éxito un ataque o hacerse efectiva una amenaza.

Un posible vector puede ser un elemento hardware, software, configuraciones, o incluso el propio usuario y su nivel de concienciación sobre seguridad.

El hecho de tener un empleado descontento dentro de nuestra propia red, y este utilice sus privilegios y derechos de acceso a sistemas para causar daños, también podría reconocerse como vector.

En el caso de que nuestro sitio web en Internet fuera manipulado por terceros (lo que se conoce como "defacement") y se hubiera utilizado una vulnerabilidad en el panel de control de nuestro servidor que permitiese entrar y modificar nuestros archivos sin pedir la contraseña, diríamos que el vector de asalto ha sido una vulnerabilidad no parcheada.

Para que los sistemas informáticos (y nuestros terminales móviles) sean útiles y puedan darnos servicio, es necesario que tengan programas, servicios, datos personales, etc., pero cada uno de ellos supone una superficie de contacto con posibles amenazas o vulnerabilidades, las cuales pueden hacer uso de dicha superficie de contacto para iniciar o progresar correctamente un ataque de malware, realizar un robo de datos mediante un asalto con un "exploit", etc.

Un ejemplo habitual de vector de entrada es el hecho de no aplicar políticas de restricción a los usuarios a la hora de que instalen software en sus terminales móviles.

Esto aumenta las probabilidades de ataque, y cualquiera de estas apps, si ocultara funciones maliciosas, serviría como vector de entrada para que la amenaza se hiciera efectiva.

Aplicar técnicas de liberaciones de restricciones a los terminales, tales como "jailbreak" a terminales iOS o "rooting" a terminales Android, aumenta las probabilidades porque aumenta los posibles vectores de entrada, ya que existe malware específico para terminales en esas condiciones.

Por ejemplo, en el caso particular de iOS, muchas veces durante el proceso de jailbreak se instala un servicio SSH que queda abierto con usuario y contraseña conocidos, creando así un nuevo vector con alto riesgo de ser explotado por un atacante externo.

Además, dado que los terminales tienen menos restricciones cuando se les practica jailbreak, se podrían producir más daños o robar más datos.

En el caso de los terminales móviles de entornos corporativos, cabe la posibilidad de utilizar soluciones de gestión remota centralizada, de manera que ciertos parámetros de configuración, políticas y límites se pueden gestionar por parte de los administradores de sistemas o administradores de seguridad de las empresas, para mejorar la prevención de amenazas y sobre todo evitar el robo de datos en el caso de que un terminal sea sustraído.

También se pueden reconocer como vectores válidos determinadas circunstancias o situaciones tales como la ingeniería social o el phishing, que intenta engañar a los usuarios para conseguir información privada directamente, o bien contraseñas que permitan el acceso a datos y sistemas privados.

En el caso del phishing, un atacante consigue llevar al usuario a una web que simula ser de una entidad legítima, tal como un banco, etc., que luego utilizarían para robar nuestro dinero de la cuenta. En tal caso hablaríamos de que el vector del ataque que ha permitido dicho robo ha sido un intento de phishing que ha tenido éxito a la hora de engañar al usuario.

2- Detección


La detección de amenazas es el siguiente paso lógico en las tareas de un gestor de seguridad.

No se puede asumir que la simple prevención de amenazas va a mantenerlas alejadas. Conviene asumir que en todo momento los mecanismos de prevención no han sido suficientes y algún tipo de ataque o contacto con una amenaza podría estar teniendo lugar. De hecho en muchos vectores, que no podemos controlar por completo, es importante tener mecanismos de detección.

En el caso particular de las plataformas móviles, es norma habitual de sus fabricantes tener mecanismos antimalware y revisiones manuales de las aplicaciones de terceros que están disponibles en sus mercados de aplicaciones, comúnmente llamados "markets" o "stores".

También existen mecanismos de denuncia por parte de los usuarios que crean haber experimentado problemas de seguridad/privacidad para llamar la atención a los dueños de las plataformas respecto a una determinada aplicación, a fin de que sea revisada de forma más detallada si es necesario.

3- Mitigación


Si nuestros procedimientos rutinarios y/o herramientas detectan una amenaza, o el análisis de la información que estas nos proporciona así lo sugiere, entra en juego el conjunto de técnicas, herramientas, o incluso el diseño arquitectónico que se haya realizado con el fin de mitigar una amenaza.

Normalmente también se incluyen en este apartado las técnicas que permiten recuperar datos perdidos o sistemas dañados tras la amenaza, aunque no se aplican inmediatamente sino cuando esta ha sido erradicada.

Algunos mecanismos para mitigar las consecuencias de una amenaza pueden ser tan simples como tener una correcta política de backups que se realizan periódicamente y que se guardan en lugar seguro.

Cambiar las contraseñas al identificar una amenaza también podría considerarse un mecanismo de mitigación. En algunos tipos de amenazas, tales como el robo de contraseñas mediante phishing, resulta imprescindible realizar este tipo de tareas.

En el caso de redes de ordenadores en entornos corporativos, la arquitectura de seguridad juega un papel importante, ya que, si los diferentes ordenadores de una red están convenientemente aislados entre sí, una amenaza que impacta contra uno de ellos tiene menos posibilidades de expandirse e incrementar los daños.

En el caso de terminales móviles, un mecanismo de seguridad que está constantemente en funcionamiento y que está pensado como contingencia es el llamado sandboxing, una tecnología que mantiene separados y supervisados los diferentes procesos que se ejecutan en el terminal, y que trata de impedir y limitar cualquier operación potencialmente maliciosa que intente realizar un software, partiendo de la premisa de que ya se ha instalado en nuestros sistemas y que, de momento, no podemos hacer otra cosa hasta que se haga posible su eliminación.

4- Eliminación


La eliminación de amenazas es el paso lógico y el objetivo primordial de un gestor de seguridad en el momento en que esta ha sido detectada.

La eliminación comprendería acciones como dar la orden a un antivirus de intentar extraer elmalware de nuestro sistema, el cierre de un servicio o desinstalación de un software que tiene vulnerabilidades para las que no se conoce una solución todavía.

5- Anticipación


Si bien este último punto no siempre se contempla en las políticas y en las estrategias de seguridad de la información de una empresa u organización, resulta cada vez más interesante y necesario prestar atención a este punto porque, ya sea por activa o por pasiva, está presente en las herramientas y soluciones de seguridad.

Existen empresas y organizaciones dedicadas a la investigación y desarrollo de nuevas tecnologías para la lucha contra las amenazas de seguridad digital, y para la investigación activa de nuevas amenazas, a fin de que puedan ser identificadas, analizadas, comprendidas y mitigadas lo antes posible.

La mayoría son laboratorios antivirus y empresas de seguridad, pero también existen instituciones y centros tecnológicos dedicados a la investigación pura.

El conocimiento generado por estas organizaciones es el que permite posteriormente a las empresas disponer de más y mejores medios para luchar contra estas amenazas, bien sea adquiriendo soluciones de software o hardware específicas que están basadas en este conocimiento, definiciones nuevas y constantes en sus sistemas antivirus, etc.

En grandes corporaciones como las bancarias es frecuente encontrar a sus propios grupos de investigadores de seguridad dedicados exclusivamente a encontrar las amenazas de malware, phishing, etc., que potencialmente puedan causar daños al negocio bancario antes de que estas puedan afectarles, o por lo menos minimizando el tiempo de respuesta y evitando que impacten sobre grandes cantidades de usuarios.




Smartphone
Mockup photo created by freepik - www.freepik.com



Información extraída del Máster en "Ciberseguridad" desarrollado por Deloitte




18 de octubre de 2019

Consejos para proteger nuestros activos en el Mes de la Concienciación sobre la Ciberseguridad

Internet Security
Vivimos en una era digital y todo está conectado a Internet (impresoras, electrodomésticos, domótica, automóviles, bancos, datos sensibles, como los vinculados a salud, biométricos, de geolocalización, y un largo etcétera) por lo que debemos asumir ciertos riesgos o amenazas.


La seguridad de la información es vital para poder desarrollar el proceso de digitalización de cualquier organización.

Una evidencia de ello es la entrada en vigor del RGPD o Reglamento General de Protección de Datos el 25 de mayo de 2018.

Con esta normativa se pretende garantizar el uso correcto de los datos personales de usuarios y clientes, y concederles la facultad de modificarlos o eliminarlos en favor del derecho al olvido. Es decir, otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo digital.

A nivel mundial, se han puesto en marcha una serie de iniciativas con el objetivo de concienciar sobre los riesgos y amenazas existentes y remarcar el papel de la ciberseguridad.

1- Mes Europeo de la Ciberseguridad


Campaña anual de sensibilización de la UE que tiene lugar cada mes de octubre en toda Europa.

Los objetivos del Mes Europeo de la Ciberguridad son:

  • Generar conciencia general sobre la ciberseguridad
  • Generar conciencia específica sobre la Red y la Seguridad de la Información, que se aborda en la propuesta de Directiva NIS
  • Promover un uso más seguro de Internet para todos los usuarios
  • Construir un historial sólido para crear conciencia a través del ECSM
  • Involucrar a las partes interesadas relevantes
  • Aumentar el interés de los medios nacionales a través de la dimensión europea y global del proyecto
  • Aumentar la atención y el interés con respecto a la seguridad de la información a través de la coordinación política y mediática

ECSM


URL: https://cybersecuritymonth.eu/

ECSM Publications & Audio Visual Material: https://cybersecuritymonth.eu/press-campaign-toolbox/infographics
https://cybersecuritymonth.eu/press-campaign-toolbox/material

Si vives en Europa, accede al sitio web de ECSM (European Cyber Security Month) y presta atención a las actividades y eventos que tienen lugar en las ciudades europeas: Activities

Sexta edición del European Cyber ​​Security Challenge (ECSC), el evento europeo anual que reúne a jóvenes talentos de toda Europa para divertirse y competir en materia de ciberseguridad: European Cyber Security Challenge - 2019

2- Mes Nacional de la Concienciación sobre la Ciberseguridad en Estados Unidos


Cada mes de octubre, el Mes Nacional de Concienciación sobre Ciberseguridad (NCSAM) es un esfuerzo de colaboración entre el gobierno y la industria para crear conciencia sobre la importancia de la ciberseguridad y garantizar que todos los estadounidenses tengan los recursos que necesitan para estar más seguros y protegidos en línea.

NCSAM


URL: https://niccs.us-cert.gov/national-cybersecurity-awareness-month-2019

Además, facilita una guía completa para promover hábitos de seguridad digital positivos y duraderos: National Cybersecurity Awareness Month - 2019 Toolkit

3- Mes de la Concienciación sobre la Ciberseguridad en Canadá


Esta campaña se centra en ayudar a los canadienses a estar más seguros en línea, al estar informados y conocer los pasos simples que pueden elegir tomar para protegerse mejor a sí mismos, a sus familias, su lugar de trabajo y sus dispositivos interconectados.

Ciberseguridad - Canada


URL: https://www.getcybersafe.gc.ca/cnt/rsrcs/glssr-en.aspx

También proporciona un kit de herramientas para ayudar a promover la ciberseguridad: Cyber Security Awareness Month Toolkit

¿qué podemos hacer para minimizar los riesgos en nuestros sistemas informáticos?


  • Instala un antivirus adecuado y un firewall o cortafuegos.
  • Utiliza contraseñas de alta seguridad: se recomienda que las contraseñas no contengan nombres completos, nombres reales o de tu empresa, así como números muy conocidos (número de teléfono o fecha de nacimiento).
  • La web How Secure Is My Password? averigua la dificultad para descifrar tu contraseña por una computadora.
  • Mantén actualizados el sistema operativo y los navegadores web de tu equipo.
  • Realiza copias de seguridad periódicas de la información, principalmente la más sensible o importante de los dispositivos.
  • Usa el "sentido común":
    1. no abrir ficheros, adjuntos o enlaces de correos electrónicos no fiables, ni contestar a este tipo de correos.
    2. precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.

¿qué antivirus debemos usar?

En la actualidad, existen infinidad de antivirus y debemos elegir la solución que mejor se adapte a nuestras necesidades.
Voy a hacer mención especial a Bitdefender por razones que expongo a continuación:

  • Dispone de un laboratorio de pruebas, un servicio técnico y convenios con diferentes universidades y entidades públicas como la Universidad Oberta de Cataluña o el Centro de Alerta Antivirus.
  • Ofrece software contra las amenazas a más de 500 millones de usuarios domésticos y soluciones corporativas en más de 180 países.
    Tiene oficinas en Estados Unidos, Reino Unido, Alemania, España (ubicadas en Madrid, Barcelona, Vigo, Las Palmas de Gran Canaria, Valencia y Sevilla), Perú y Rumanía. Además, posee una red local de distribuidores en más de 200 países.
  • Además de la protección antivirus habitual en este tipo de aplicaciones contra malware, spyware, ataques de phishing, etc., incluye un firewall, un gestor de contraseñas, control parental, un escáner para perfiles de Facebook (Safego) que bloquea posibles enlaces que podamos recibir a través de esta red social, una aplicación para borrado seguro de ficheros y, también, un navegador Web (Safepay) para acceder de forma segura a cualquier entidad bancaria que funciona en su propio escritorio sin interactuar con el resto del Sistema Operativo.
  • La app Bitdefender Central está disponible ahora para iOS y Android
  • Gestor de contraseñas y Destructor de archivos mejorados
Toda la información en:

Bitdefender Total Security 2020


5 de septiembre de 2019

Microsoft Edge Insider Bounty Program: los investigadores de seguridad pueden ganar hasta $30,000 USD

Edge Logo
Microsoft anunció hace unos días el Programa de Recompensas Microsoft Edge Insider Bounty Program exclusivo para la versión de Edge basada en Chromium y destinado a descubrir y corregir las vulnerabilidades del navegador web.
Los investigadores de seguridad que detecten vulnerabilidades críticas en la última versión de Edge (en los canales Dev y Beta) obtendrán recompensas de hasta $30,000 USD.


Microsoft anunció que el nuevo programa se ejecutará junto con el de Microsoft Edge (EdgeHTML) existente en el Windows Insider Preview Bounty Program y cuyas recompensas ascienden desde $500 USD hasta $15,000 USD.

Los investigadores que presenten vulnerabilidades que no califican en términos monetarios pueden ser elegidos para el reconocimiento público por su colaboración en afianzar la seguridad de Microsoft Edge.


Microsoft Edge Insider Bounty Program


Puntos destacados del programa de recompensas


  • El objetivo del Programa de recompensas internas de Microsoft Edge (basado en Chromium) es descubrir vulnerabilidades exclusivas del próximo Microsoft Edge que tengan un impacto directo y demostrable en la seguridad de sus clientes. Por lo que cualquier informe que se reproduzca en la última versión de Microsoft Edge (en los canales Beta o Dev) y que no se reproduzca en el canal equivalente de Google Chrome, se revisará para determinar la eligibilidad de recompensas según la gravedad, el impacto y la calidad del informe enviado.

  • Las vulnerabilidades deben ser reproducibles en la última versión de Microsoft Edge en el momento del envío y en la versión más reciente y completamente actualizada de Windows (incluidos Windows 10, Windows 7 SP1 o Windows 8.1) o MacOS.

  • Las vulnerabilidades demostrables en componentes de terceros que se reproduzcan en Microsoft Edge pero no en Chrome también son elegibles para su consideración en este programa de recompensas.

¿Por dónde empezar?


Descarga la versión de Microsoft Edge (Beta Channel para Windows 10) y sigue el blog del equipo de Microsoft Edge, los foros de la comunidad, GitHub, la página de Microsoft Edge Insider y la cuenta de Twitter para conocer las últimas funciones y versiones.

Existen varias características en Microsoft Edge basado en Chromium que son exclusivas de Edge y pueden ser buenos puntos de partida para comenzar a buscar vulnerabilidades elegibles para recompensas de Microsoft. Algunos ejemplos:

  • Modo Internet Explorer (IE): esta característica permite a los administradores empresariales mantener una lista confiable de sitios que se pueden abrir en modo IE dentro del navegador Edge. Esta característica requiere una versión compatible de Windows.

  • PlayReady DRM: esta función permite que el nuevo Microsoft Edge muestre contenido multimedia protegido con PlayReady DRM (además de WideVine DRM, que también es compatible con Google Chrome).

  • Application Guard: las vulnerabilidades que afecten a Application Guard serán revisadas y calificarán en virtud del programa de recompensas de Windows Defender Application Guard si es elegible.

  • Inicie sesión con una cuenta de Microsoft (MSA) o Azure Active Directory (AAD).

¿Cómo se establecen las cantidades a pagar?


Los premios de recompensas van desde $1,000 hasta $30,000 USD.
Los premios más altos serán elegibles, a exclusivo criterio de Microsoft, en función de la calidad y complejidad de la vulnerabilidad.

Los investigadores que presenten informes que no califican para premios de recompensas aún pueden ser elegidos para reconocimiento público si su presentación conduce a una corrección de vulnerabilidad.

Los informes deben enviarse a secure@microsoft.com. En el correo electrónico, especifique el nombre del Programa de Recompensas, los detalles de la vulnerabilidad y los números específicos de versión del producto que ha utilizado para validar tu investigación.

Toda la información en https://www.microsoft.com/en-us/msrc/bounty-new-edge





14 de julio de 2019

Informe de Inteligencia de Seguridad de Microsoft (enero a diciembre de 2018)

Microsoft Security
El siguiente informe presenta datos extraídos de los 6,5 billones de señales de amenazas que pasan por el cloud de Microsoft cada día y la investigación y las experiencias reales de miles de investigadores de seguridad y equipos de intervención inmediata en todo el mundo.


En 2018, los atacantes utilizaron diferentes artimañas, tanto nuevas (minería de moneda o coin-mining) como antiguas (suplantación de identidad o phishing), en su búsqueda continua de robar datos y recursos a clientes y organizaciones.
Otra área en la que los ciberdelincuentes incrementaron su actividad es la cadena de suministro.


Social Media

Ransomware, minería de criptomoneda y dinero


El ransomware intervino en los casos de seguridad más importantes de 2017. Los ataques notables de WannaCrypt y Petya en todo el mundo impulsaron la sensibilización general del ransomware (un tipo de malware que bloquea o cifra los ordenadores y, después, exige dinero para devolver el acceso) y muchos especularon con que no dejaría de aumentar en el futuro. Por el contrario, los encuentros de ransomware disminuyeron significativamente en 2018.

Las tasas de encuentros de ransomware disminuyeron aproximadamente un 60 por ciento entre marzo de 2017 y diciembre de 2018, con aumentos intermitentes durante ese período.

Probablemente hay muchas causas para este declive general, aunque los investigadores de seguridad de Microsoft sospechan que un factor principal es que tanto los usuarios finales como las organizaciones están adquiriendo más consciencia y están tratando de forma más inteligente las amenazas de ransomware, incluido el ejercicio de una mayor cautela y la realización de copias de seguridad de los archivos importantes para que se puedan restaurar si se cifran mediante ransomware.

Minería de criptomoneda en auge


La criptomoneda es dinero virtual que se puede utilizar para comprar y vender bienes y servicios de forma anónima, tanto online como en el mundo físico.

Existen muchos tipos diferentes de criptomonedas, pero todas se basan en la tecnología de cadena de bloques, en la que cada transacción se registra en un libro mayor distribuido que mantienen miles o millones de ordenadores en todo el mundo.

Las nuevas monedas se crean, o "extraen", mediante ordenadores que realizan cálculos complejos que también sirven para verificar las transacciones de cadena de bloques.

La minería de moneda puede ser muy lucrativa (en 2018, un solo bitcoin, la criptomoneda más antigua y popular, valía varios miles de dólares estadounidenses), pero la realización de los cálculos necesarios puede requerir muchos recursos y aumentan a medida que se extrae cada nueva moneda.

Para las monedas populares como el bitcoin, la minería de moneda rentable es casi imposible si no se accede a inmensos recursos informáticos que están fuera del alcance de la mayoría de los individuos y grupos pequeños. Por este motivo, los atacantes que buscan ganancias ilícitas han recurrido cada vez más al malware con el que pueden utilizar los ordenadores de las víctimas para ayudarlos a la minería de criptomoneda.

Este enfoque les permite aprovechar la potencia de procesamiento de cientos de miles de ordenadores en lugar de uno o dos. Aunque se descubra una infección menor, la naturaleza anónima de la criptomoneda complica los esfuerzos para localizar a los responsables.

Mineros de criptomoneda basados en exploradores: un nuevo tipo de amenaza


Hacen referencia a mineros de criptomoneda maliciosos que están diseñados para instalarse en los ordenadores de las víctimas como malware.

Algunas de las amenazas más significativas de minería de criptomoneda se basan completamente en exploradores web y no es necesario instalarlas.

Una serie de servicios anuncian la minería de criptomoneda basada en explorador como una manera para que los propietarios de sitios web moneticen el tráfico a sus sitios sin depender de la publicidad.

Los propietarios de los sitios deben añadir código JavaScript a sus páginas para realizar la minería de criptomoneda en segundo plano mientras un usuario visita el sitio y las ganancias se dividen entre el propietario del sitio y el servicio.

Al igual que los troyanos de minería de criptomoneda, los sistemas de minería basados en explorador pueden degradar considerablemente el rendimiento del ordenador y desperdiciar electricidad mientras un usuario visita una página web afectada.

Cadenas de suministro de software en peligro


En un ataque a la cadena de suministro, el atacante se concentra en comprometer el proceso de desarrollo o actualización de un editor de software legítimo.

Si tiene éxito, el atacante puede incorporar un componente comprometido en una aplicación legítima o en un paquete de actualización que después se distribuye a los usuarios del software. El código malicioso se ejecuta con la misma confianza y los mismos permisos que el software.

El aumento del número de ataques a la cadena de suministro de software en los últimos años se ha convertido en un tema importante en muchas conversaciones sobre ciberseguridad y es un foco principal de preocupación en muchos departamentos de TI.

El primer incidente importante en la cadena de suministro de software de 2018 sucedió el 6 de marzo, cuando Windows Defender ATP bloqueó una campaña masiva para entregar el troyano Dofoil (también conocido como Smoke Loader). Se rastreó la campaña masiva de malware hasta una aplicación punto a punto envenenada.

El paquete de actualización de la aplicación se reemplazó por uno malicioso que descargaba código comprometido, el cual instaló el malware Dofoil. El sofisticado troyano llevaba una carga para la minería de moneda y presentaba técnicas avanzadas de inserción de procesos cruzados, mecanismos de persistencia y métodos de evasión.

Los ataques a la cadena de suministro son insidiosos porque se aprovechan de la confianza que los usuarios y los departamentos de TI depositan en el software que utilizan.

El software comprometido a menudo está firmado y certificado por el proveedor, y puede no dar ninguna señal de que algo esté mal, lo que hace que sea considerablemente más difícil detectar la infección.

Pueden dañar la relación entre las cadenas de suministro y sus clientes, ya sean empresas o usuarios domésticos.

Al infectar el software y socavar las infraestructuras de entrega o actualización, los ataques a la cadena de suministro pueden afectar a la integridad y seguridad de los bienes y servicios que proporcionan las organizaciones.

Los riesgos de la cadena de suministro se extienden al código en el cloud, código abierto, bibliotecas web, contenedores y otros objetos en el cloud. Estos riesgos, junto con el alto grado de variación entre los incidentes de cadena de suministro de software y hardware que han salido a la luz, convierten a este tipo de ataques en una categoría de amenaza amplia.

La suplantación de identidad (phishing) sigue prevaleciendo


En 2018, los analistas de amenazas de Microsoft han podido constatar que los atacantes siguen utilizando la suplantación de identidad (phishing) como método de ataque preferido.

La suplantación de identidad promete seguir siendo un problema en un futuro cercano, ya que implica decisiones y juicios humanos ante los persistentes esfuerzos de los ciberdelincuentes por hacer que las víctimas caigan en su anzuelo.

La proporción de correos electrónicos entrantes que eran mensajes de suplantación de identidad aumentó un 250 por ciento entre enero y diciembre de 2018.

Los investigadores de Microsoft han descubierto que en las campañas se emplean muchos tipos diferentes de engaños de suplantación de identidad (phishing) o cargas útiles, entre los que se incluyen:

Suplantación de dominios: el dominio de los mensajes de correo electrónico coincide exactamente con el nombre de dominio original.
Simulación de dominios: el dominio de los mensajes de correo electrónico es parecido al nombre de dominio original.
Suplantación de usuario: el mensaje de correo electrónico parece provenir de alguien en quien se confía.
Señuelos de texto: el mensaje de texto parece provenir de una fuente legítima como un banco, una agencia gubernamental u otra empresa para dar legitimidad a sus reclamos y típicamente le pide a la víctima que proporcione información confidencial, como nombres de usuario, contraseñas o datos financieros confidenciales.
Enlaces de suplantación de credenciales: el mensaje de correo electrónico contiene un enlace a una página que se parece a una página de inicio de sesión de un sitio legítimo, por lo que los usuarios introducen sus credenciales de inicio de sesión.
Archivos adjuntos de suplantación de identidad: el mensaje de correo electrónico contiene un archivo adjunto malicioso que el remitente invita a la víctima a abrirlo.
Enlaces a ubicaciones de almacenamiento en el cloud falsas: el mensaje de correo electrónico parece provenir de una fuente legítima e incita al usuario a dar permiso o introducir información personal, como credenciales, a cambio de acceder a una ubicación de almacenamiento en el cloud falsa.

Malware en todo el mundo


El malware plantea riesgos para las organizaciones y los individuos que se traducen en deterioro de la usabilidad, pérdida de datos, robo de propiedad intelectual, pérdida de dinero, angustia emocional e incluso puede poner en peligro la vida.

Las tasas de encuentros de malware oscilaron entre alrededor del 5 por ciento y más del 7 por ciento en 2017. A principios de 2018 se elevaron antes de disminuir durante la mayor parte del año a poco más del 4 por ciento.

Información extraída del Informe de inteligencia de seguridad de Microsoft, volumen 24


18 de abril de 2019

Ciberseguridad: glosario de términos (II)

cibersecurity
La ciberseguridad debe ser considerada como un proceso y no como una actividad aislada y diferenciada del resto de servicios o herramientas informáticas. Podemos decir que la seguridad es una cualidad más, que como la salud en el caso de las personas, hay que cuidar desde el principio, y en cuya gestión participan gran cantidad de agentes.


Siguiendo con esta comparación, los ciberataques, cada vez más sofisticados y difíciles de detectar, se pueden considerar como una enfermedad que debemos ser capaces de prevenir y ante la que debemos ser capaces de reaccionar, generando los anticuerpos necesarios para volver a la situación de salud inicial.


Hacker


A continuación, vamos a explicar algunos de los términos relacionados con la seguridad informática o seguridad de tecnologías de la información.

Seguridad informática

El área de la informática enfocada en la protección de la infraestructura computacional y todo lo relacionado con ésta y, especialmente, la información contenida o circulante.

Hacker

Definición 1: término para designar a alguien con talento, conocimiento, inteligencia y curiosidad, especialmente relacionada con las operaciones de computadora, redes, seguridad, etc.

Definición 2: persona que disfruta aprendiendo detalles de los sistemas de programación y cómo extender sus capacidades, tan intensamente como, al contrario, muchos usuarios prefieren aprender solo el mínimo necesario.

La Real Academia Española (2001) define hacker como: Pirata informático (descripción discutida por los profesionales).

Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora. (Nueva definición añadida a la RAE que se acerca a la postura de los profesionales de seguridad).

Cracker

Se utiliza para referirse a las personas que "rompen" algún sistema de seguridad.
Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el propio desafío.

Hacker ético

Profesional de la seguridad informática que aplica sus conocimientos al hacking con fines defensivos y de manera legal.

Hacking ético

Auditoría de seguridad que nos permite verificar el nivel de seguridad de una organización y encontrar sus puntos débiles en este contexto.

Escaneo de vulnerabilidades

Prueba reducida y concreta cuyo único objetivo es la identificación de vulnerabilidades.

Un error generalizado que se produce hoy en día entre muchos clientes y profesionales de seguridad es llamar hacking ético a un escaneo de vulnerabilidades. La diferencia es que, en una auditoría de seguridad o hacking ético, la prueba consiste en simular un ataque informático real con el menor número de restricciones posible.

Sombrero blanco (white hat)

Persona que utiliza sus conocimientos de hacking para fines defensivos; el analista de seguridad o hacker ético.

Sombrero negro (black hat)

Persona que utiliza sus conocimientos de hacking para acciones destructivas; el cracker.

Sombrero gris (gray hat)

Persona que utiliza sus conocimientos de hacking tanto para fines defensivos o acciones destructivas según le interese.

Hacktivismo

El término hacktivismo es controvertido. Algunos afirman que se acuñó para describir cómo las acciones directas electrónicas podían usarse en favor del cambio social al combinar la programación con el pensamiento crítico. Otros utilizan el término como sinónimo de actos maliciosos y destructivos que vulneran la seguridad de internet como una plataforma tecnológica, económica y política.

Pirata informático

Persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos.

Backdoor

Puerta trasera, técnica que permitirá acceder a un sistema infectado para su control remoto.

Desarrollo seguro

El desarrollo de aplicaciones seguras, sobre todo si estas van a dar soporte a procesos de negocio o van a estar expuestas a Internet, es el mejor mecanismo de defensa de los activos de una organización ante los ciberataques.

Ingeniería social

Conjunto de técnicas utilizadas para manipular a víctimas potenciales y obtener, de esta manera, la información deseada, o conseguir que estas realicen alguna acción que conlleve al compromiso del sistema, datos confidenciales, etc.

En Internet, la ingeniería social se ha utilizado desde siempre, tanto para perseguir fines legales como ilegales, ya que es una técnica que permite, sin necesidad de grandes conocimientos técnicos ni uso de herramientas, obtener una gran cantidad de información de los objetivos. Esto es debido a que, desde siempre, los eslabones más débiles de la cadena de seguridad son los usuarios.

Identidad digital

Conjunto de informaciones publicadas en Internet sobre una persona (datos personales, fotografías, comentarios, amistades, gustos, etc.), que la describen en Internet ante los demás y determinan su reputación digital. Aunque dicha información no tiene por qué coincidir con la realidad, sí que tiene consecuencias en el mundo real.

Deep web

Todo aquel contenido alojado en Internet que es accesible mediante permisos específicos, como pueden ser: una URL dedicada, una invitación, un pago o incluso un acceso mediante usuario y contraseña. Este tipo de contenido se encuentra dentro de Internet y, normalmente, parte de él suele estar indexado por los motores de búsqueda habituales.

CEO Fraud

Tipo de fraude en el que se suplanta al CEO de una empresa para instar, a través de la presión que un alto cargo puede ejercer, a un empleado que disponga de acceso a la contabilidad o transferencias de la compañía, a realizar pagos de manera urgente y confidencial.

Spoofing

Técnicas utilizadas para la suplantación de identidad (DNS spoofing, IP spoofing, ARP spoofing, email spoofing).