Como Google Chrome ayuda a mantener seguras a las empresas

La seguridad de la información, ahora más que nunca, es una prioridad para los equipos IT sobre todo considerando que el cibercrimen se ha incrementado un 600% como consecuencia de la pandemia del COVID-19 y el trabajo remoto ha disparado el coste medio de una filtración de datos en $137.000 según el último informe de IBM, How much does a data breach cost?


Chrome ha trabajado durante 14 años para mitigar los riesgos, bloquear sitios y contenido malicioso y mejorar de forma proactiva la seguridad web para mantener seguros a los usuarios y los datos corporativos, siendo pionero en nuevas capas de protección como site isolation y sandboxing.

Site Isolation es una medida de seguridad de Chrome que garantiza que las páginas de diferentes sitios web siempre se ejecuten en diferentes procesos, cada uno de los cuales se ejecuta en un espacio aislado que limita lo que el proceso puede hacer. También impide que el proceso reciba ciertos tipos de datos confidenciales de otros sitios web.

Sandboxing es la práctica de aislar una pieza de software para que pueda acceder solo a ciertos recursos, programas y archivos dentro de un sistema informático, a fin de reducir el riesgo de errores o malware que afecte al resto del sistema.

Todos los navegadores Google Chrome tienen habilitado sandboxing de forma predeterminada, siendo uno de los muchos beneficios de usar el sistema operativo Chrome OS.

Si se produce alguna amenaza de seguridad, sandboxing la aisla al sitio web o la aplicación afectada.
Básicamente, la amenaza ahora está en un "sandbox" y no puede avanzar más en tu dispositivo evitando más daños a tu computadora. Todo lo que tienes que hacer es cerrar el navegador.

Foto creada por rawpixel.com - www.freepik.es

Chrome cuenta con múltiples elementos de seguridad para ofrecer a las organizaciones la mejor protección posible.

Seguridad en la que no tienes que pensar

Con las actualizaciones automáticas habilitadas, Chrome ofrece a las empresas correcciones rápidas y automáticas para vulnerabilidades de día cero (zero day).

El equipo de seguridad de Chrome publicó recientemente un post que explica el estado de los bugs y exploits que afectan a su navegador y que merece la pena leer: What's up with in-the-wild exploits? Plus, what we're doing about it.

También incluye capacidades como 'site isolation' y 'sandboxing' que evitan que el código malicioso afecte a otros sitios visitados o impacte en los equipos de los usuarios.

La infraestructura de escaneo ayuda a detectar y eliminar extensiones maliciosas de Chrome Web Store para evitar que los usuarios finales se infecten (el año pasado se produjo una caída de malware de casi el 90%).

Estas son protecciones integradas directamente en Chrome que automáticamente mantienen seguros a sus usuarios y su organización.

Protección para usuarios de Chrome

Son capas adicionales de protección que mantienen seguros a los usuarios finales mientras navegan por la web.

Safe Browsing o navegación segura, que se ofrece de forma nativa en Chrome, ayuda a proteger los dispositivos al mostrar advertencias a los usuarios cuando intentan navegar a sitios peligrosos o descargar archivos maliciosos.

Información sobre la seguridad de las contraseñas, informando a los usuarios si sus contraseñas se han visto comprometidas o incluso indicándoles que cambien su contraseña corporativa si intentan reutilizarla en contra de las políticas de la empresa.

Controles a nivel de empresa

Cada organización tiene necesidades de seguridad únicas por lo que Chrome ofrece a las empresas protecciones avanzadas y administración modular de políticas para ayudar a alcanzar esos objetivos de seguridad.

Con más de 100 políticas, los administradores pueden usar multiples herramientas de administración, incluida la administración en la nube del navegador Chrome (Chrome Browser Cloud Management), para personalizar el navegador.

Chrome Browser Cloud Management proporciona una potente gestión de extensiones empresariales, una prioridad de seguridad para muchas organizaciones. Los usuarios finales pueden solicitar extensiones y los administradores permitirlas o denegarlas. Además, los administradores pueden fijar versiones específicas de extensiones para apoyar cualquier proceso de revisión de seguridad interno.

La visibilidad y los informes son otra área de soporte para los equipos IT. A través de Chrome Browser Cloud Management, los administradores pueden obtener más información sobre el entorno de los navegadores como la versión actual de cada navegador, las aplicaciones y extensiones instaladas, y las políticas aplicadas.

Estos datos pueden ayudar a los equipos IT a tomar decisiones de seguridad, comprender mejor los dispositivos que ejecutan Chrome e investigar si surgen problemas.

Seguridad Zero Trust

Chrome permite actualizar la estrategia de seguridad de las organizaciones al migrar a modelos de acceso de confianza cero (zero trust).

BeyondCorp Enterprise ayuda a proteger endpoints mediante la integración directa de amenazas y protección de datos en Chrome, incluyendo la pérdida de datos intencionada o accidental y evitando el malware y el phishing en tiempo real.

Además, Chrome y BeyondCorp Enterprise proporcionan la confianza en el dispositivo (device trust) y señales de seguridad de endpoints directamente desde el navegador, lo que facilita significativamente el despliegue de confianza cero en su entorno.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Seguridad y Protección de Datos: política de escritorio despejado

Una política de escritorio limpio o despejado es una forma sencilla de mantener la seguridad de tu empresa. En términos generales, implica eliminar cualquier información confidencial de tu escritorio o almacenarla de forma adecuada: memorias USB, portátiles, tarjetas de visita y documentos impresos, entre otros. Las sanciones por incumplimiento interno pueden variar desde advertencias hasta multas.


Tras la vuelta a la presencia física en oficinas, os recordamos algunos aspectos de la política de escritorio despejado que todos los empleados y empleadas deben cumplir.

Frame psd created by freepik - www.freepik.com

1- Tu PC portátil debe permanecer siempre con candado cuando abandones tu puesto de trabajo aunque se trate de un período corto de tiempo (pausa para el café o similar).

2- No esperes a que automáticamente se active el "salvapantallas" cuando no estés en tu puesto de trabajo.
Bloquea la pantalla con [Windows] + [L] y, similarmente, con [Ctrl] + [Alt] + [Supr] y guarda bajo llave los documentos confidenciales con los que estés trabajando.

Lleva contigo la PKI (Public Key Infrastructure) y la tarjeta identificativa de tu empresa corporativa (en adelante EC). Recuerda no llevar visible la tarjeta identificativa si estás fuera de las instalaciones de EC.

3- No tires información confidencial a la papelera, destruye la información en las trizadoras que se encuentran junto a las impresoras o, si se trata de grandes volúmenes, tíralos en los cubículos cerrados habilitados para información confidencial que después es destruida de forma segura por los proveedores de EC.

Se entiende por información confidencial, entre otras:

• información que contiene datos personales.
• datos relativos a ofertas y estrategia de la compañía.
• informes de auditoría.
• información específicamente clasificada como confidencial por clientes.

4- Está prohibido anotar contraseñas en post its, notas, agendas o similar que permitan fácil acceso a las mismas. No las compartas con nadie.

5- Si estás ubicado en un despacho o sala de reunión ciérralo con llave cuando salgas.

6- Si utilizas las pizarras en las salas de reuniones, borra la información escrita en ellas antes de abandonar la sala y no olvides la documentación o dispositivos (PC’s u otros que contengan información).

7- No utilices dispositivos personales extraíbles (smarthphone, disco duro, pen dirve, etc) para extraer información de tu compañía. Si se requiere utilizar estos dispositivos, deben estar autorizados y cifrados, siguiendo las políticas de EC.

8- Sé cuidadoso cuando hables por teléfono en la calle o en espacios de EC en relación con la información que comentas, no divulgues información confidencial de EC o sus clientes.

9- Evita dejar tu PC desatendido en el coche si tienes que hacer una parada de camino a casa, suele ser el caso más habitual de robo, incluso si lo metes en el maletero.

10- Mantente alerta sobre los correos de phishing e intentos de ingeniería social (suplantación de la personalidad).

Algunos de los intentos de fraude más recientes corresponden a suplantaciones de identidad de entidades públicas que supuestamente solicitan el envío de una factura correspondiente a un expediente de licitación.

Si observas información confidencial tirada en la papelera, sufres un robo de portátil, detectas actividad sospechosa en tu PC (fruto de un phishing, virus o similar) o cualquier otro tipo de incidente, por favor repórtalo a InfoSec, tu oficina de Seguridad de la Información.

Tal vez te interese conocer algunos de estos temas:

• 8 consejos sobre ciberseguridad durante el periodo de teletrabajo
  
  
• Ciberseguridad 2021: encuestas a Pymes
  
  
• Mantente alerta para detectar y reaccionar frente a intentos de fraude
  
  
• El CISO y la ciberseguridad
  
  
• Seguridad en la nube: mitos y realidades
  
  

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Ciberseguridad 2021: encuestas a Pymes

Google, en colaboración con The Cocktail Analysis, pone un marcha un proyecto destinado a entender la situación de la Ciberseguridad en España.
En este informe se recogen los principales aprendizajes tras realizar un análisis del estado de la ciberseguridad a través de la metodología de encuesta telefónica CATI (Computer Assisted Telephone Interwiew) para Pymes españolas con el objetivo de conocer el grado de seguridad percibido, nivel de conciencia, adopción de las diferentes soluciones, etc.


Se han realizado 737 entrevistas telefónicas a PYMES en el período comprendido entre el 27 de abril y el 21 de mayo de 2021.
Las principales conclusiones son:

La cultura de ciberseguridad en las Pymes

Crece la conciencia del problema pero no se acompaña de una implementación de prácticas adecuadas (aunque existen algunos indicadores de madurez). Además, hay una baja identificación con el problema.

• Elevada conciencia de la importancia de la ciberseguridad entre las Pymes españolas : 8 de cada 10 consideran la ciberseguridad como un aspecto de máxima importancia (incrementándose 7 p.p. respecto a 2019 los que la consideran muy o bastante importante).
• Existe además cierta madurez por parte de las Pymes en la identificación de riesgos para sus empresas. Más allá de mencionar el riesgo de robo de información como principal riesgo de los ciberataques, como sucedía en 2019, las Pymes son capaces de mencionar otros riesgos como pérdida de dinero o destrucción de equipos, reflejando un conocimiento más preciso.
• Sin embargo, el nivel de auto identificación con el problema es bajo: pese a que las Pymes son uno de los principales objetivos de los ciberataques, tan sólo 2 de cada 10 se ven a sí mismas como un objetivo atractivo para los ciberdelincuentes. Consideran que “no trabajan con información relevante” o “son una empresa pequeña - mediana” como para resultar de interés para los ciberatacantes.
• A pesar del enorme incremento de ataques y de los costes que puede llegar a suponer, cerca de la mitad de las PYMES considera su nivel interno de ciberseguridad como deficiente: a nivel total, 45% considera su nivel de seguridad Malo o Muy malo, es decir, estamos ante un panorama de la cultura de la ciberseguridad entre las Pymes donde existe un amplio margen de mejora.
• A pesar de un contexto marcado por el teletrabajo, 2 de cada 3 empresas no cuenta con medidas de seguridad específicas para los dispositivos personales de los trabajadores (dispositivos más usados para teletrabajar).
• Se detectan ciertos brotes de madurez en la atención dedicada a la ciberseguridad interna de la empresa a nivel de:
  1) desempeño y procesos cotidianos.
  2) a través del uso de almacenamiento en la nube, que parece ser una tendencia creciente y que cada vez más empresas consideran segura.
  3) también el sistema de autenticación 2SV es cada vez más conocido entre las Pymes.
  4) aumenta también la concienciación por parte de los empleados de la importancia de la ciberseguridad.
  Con respecto a otras cuestiones no hay grandes cambios en las medidas de seguridad standard, ni en la web ni el ecommerce con respecto al año pasado.
• El porcentaje de empresas que son conscientes de haber sido atacadas se mantiene en cifras mínimas (14%), probablemente derivado de una limitada capacidad de detección de ataques.

Foto de Negocios creado por rawpixel.com - www.freepik.es

La ciberseguridad, un sector en auge

Las empresas consideran que la ciberseguridad adquirirá más relevancia en los próximos años.

• Elevada conciencia de la importancia de la ciberseguridad entre las Pymes españolas : 8 de cada 10 consideran la ciberseguridad como un aspecto de máxima importancia (incrementándose 7 p.p. respecto a 2019 los que la consideran muy o bastante importante).
• Mirando a un futuro próximo, el 55% de las empresas considera que en 5 años la ciberseguridad será más importante en su empresa.
• 1 de cada 4 planea aumentar la inversión en ciberseguridad (esta cifra es mayor en el caso de las empresas más grandes, 37%).
• Cada vez son más las empresas que externalizan la gestión de la ciberseguridad, un 54% frente al 38% de 2019, denotando cierta profesionalización del sector y la creación de todo un mercado de servicios alrededor de la ciberseguridad.
• Entre las empresas a las que se externaliza la seguridad destacan, consultoras (53%), mayoristas/ distribuidores (24%) y fabricantes (23%).
• Parece que esta tendencia hacia la externalización va a continuar ya que tan sólo un 4% de las empresas tiene intención de contratar empleados especializados en ciberseguridad los próximos años.

Medidas de seguridad adoptadas en las Pymes

• Tendencia hacia la externalización de la ciberseguridad: sube un 16% desde la edición anterior el porcentaje de pymes que externalizan sus servicios.
  A diferencia de la edición anterior donde la ciberseguridad se asumía mayoritariamente de manera interna, cada vez son más las que optan por la externalización: un 54% de PYMES externalizan la seguridad a otras PYMES, denotando cierta profesionalización del sector.
  Entre las empresas a las que se externaliza la seguridad destacan las consultoras (53%).
• Las medidas de seguridad más extendidas entre las Pymes son las más básicas: antivirus, cortafuegos y backups de información.
  Sin embargo, son pocas las empresas que cuentan con medidas de protección más avanzadas como antimalware o formación/protocolos específicos a empleados en ciberseguridad que dejarían ver una cultura de ciberseguridad más madura y consolidada.
  Las empresas de mayor tamaño, muestran un nivel de madurez superior implementado más medidas de seguridad.
• Aunque aumenta el número de empresas con alguna política o normativa concreta de ciberseguridad, un 58% de las Pymes aún no dispone de ninguna. Además, solo un 14% dispone de un seguro contra riesgos cibernéticos.
• Aunque casi todas las PYMES realizan controles en la actualización de ordenadores, solo la mitad los realizan en los móviles.
  Además, 4 de cada 10 empresas aún no dispone de ningún protocolo de actualización de contraseñas.
• A pesar de que aumenta el conocimiento del sistema 2SV (verificación en 2 pasos), tan solo un 30% de las PYMES lo tienen implementado. Aunque se incrementa significativamente su conocimiento desde la anterior oleada.
• Casi 4 de cada 5 empresas (78%) tiene implantado el bloqueo automático de la pantalla tras un período de inactividad.
• El 42% de las empresas tiene discos duros cifrados.
• El 61% de las Pymes dispone de almacenamiento en la nube, incrementándose 10 p.p desde el año anterior.
  Además, ha aumentado también la confianza en este tipo de herramientas: Un 57% los considera fiables, tan sólo a 1 de cada 10 le provoca desconfianza.
• Un 46% de las empresas utilizan infraestructura de escritorios virtuales como método de acceso remoto.
  Aproximadamente la mitad lo califica como bastante fiable.
• 3 de cada 4 empresas (73%) utilizan el protocolo https en su página web.
  Tan sólo un 6% es consciente de haber sufrido algún tipo de ataque a su página web.
• La mayoría de empresas con ecommerce consideran que comprar en su web es muy seguro.
• El teletrabajo se ha visto incrementado: 42% de las empresas lo permite (frente al 16% del 2019), generando un contexto de exposición propicio a los ciberataques.
  La mayoría se conecta a través de escritorios remotos o de VPN.
• Incremento considerable de la concienciación de los empleados sobre la importancia de la ciberseguridad. Sin embargo, el 55% de los empleados todavía no recibe formación sobre ciberseguridad.

Infographic vector created by freepik - www.freepik.com

El futuro de la ciberseguridad

• 1 de cada 4 empresas planea incrementar la inversión en ciberseguridad en los próximos años. En el caso de las empresas más grandes este porcentaje es mayor (37%).
• No se vincula a una cuestión de imagen: un 53% no cree que la ciberseguridad pueda impactar en la imagen de su empresa.
  Tan sólo el 13% de las PYMES sienten que sus clientes les exigen algún tipo de protección referente a ciberseguridad.
• En España, la tendencia es la externalización del servicio: sólo un 4% de las Pymes tiene intención de contratar empleados especializados en ciberseguridad.
• Mirando a un futuro próximo, el 55% de las empresas considera que en 5 años la ciberseguridad será más importante en su empresa.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Space Shelter: un juego para aprender a reforzar tu seguridad en Internet

Google y Euroconsumers (grupo europeo que aboga por la información y defensa de los consumidores aportando mejoras en materia jurídica y económica) lanzan Space Shelter, un juego para plataformas web para incentivar a los internautas a navegar por la red de forma más segura.


Esta iniciativa se ha puesto en marcha para celebrar el Mes Europeo de la Ciberseguridad en octubre y tiene como objetivo poner a prueba las habilidades de los usuarios en materia de seguridad al mismo tiempo que se divierten.



A diario, Google bloquea automáticamente más de 100 millones de intentos de suplantación de identidad (phishing); Google Photos encripta 4000 millones de fotos y Google Play Protect ejecuta análisis de seguridad en 100.000 millones de aplicaciones instaladas en toda clase de dispositivos.

Se comprueban 900 millones de contraseñas todos los días, y se protegen de forma automática más de 4000 millones de dispositivos con la tecnología de Navegación segura que permite examinar miles de millones de URL en busca de sitios web no seguros.

En cualquier caso, para hacer de internet un lugar más seguro, es esencial ayudar a divulgar hábitos digitales saludables. Google mantiene contacto directo con expertos y educadores para ayudar a los usuarios a establecer límites y a utilizar la tecnología de una forma adecuada para ellos y para su entorno. Ese es el objetivo de esta iniciativa y el elemento central de la asociación con Euroconsumers.

El juego consiste en realizar un viaje virtual al espacio exterior cuya misión es alcanzar el nivel más alto para aumentar la seguridad online.

El objetivo de la misión es conducir la nave por la galaxia y aparcarla de forma segura en el refugio Space Shelter:

• embarque del astronauta.
• seguridad de la nave espacial: crear un código de acceso muy seguro para el ordenador de la nave.
• instalar escudos en la nave para que sea aún más segura: 2FA.
• piratas espaciales: tendrás que esquivar alienígenas y obstáculos inesperados.
• permiso para aterrizar.

Objetivos adicionales:

• completa el juego en 10 minutos.
• completa el juego con una puntuación del 99% en la barra de conocimientos: puedes ver tu progreso a medida que avanza la misión.
• responde correctamente a las preguntas.

Antes de pilotar la nave, el equipo de formación de astronautas te pide que hagas una prueba rápida con preguntas sobre robos de contraseñas, seguridad del ordenador, phishing, doble factor de autenticación, etc.

Space Shelter ha sido desarrollado por la empresa italiana Gamindo, está construido en HTML5 utilizando la tecnología CANVAS y se encuentra disponible tanto para dispositivos móviles (iOS y Android) como para ordenadores.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

OWASP presenta el borrador Top 10 de las principales amanezas para 2021

La lista Top 10 es una guía ampliamente utilizada sobre las amenazas de seguridad de las aplicaciones web actuales. El Proyecto de Código Abierto de Seguridad de Aplicaciones Web (OWASP) ha publicado su borrador de la lista Top 10 2021 que revela un cambio en la forma en que se clasifican las amenazas modernas.


El borrador del informe, disponible en línea (https://owasp.org/Top10/), contiene cambios importantes en la forma en que la organización sin fines de lucro categoriza las amenazas actuales de las aplicaciones web, teniendo en cuenta que la lista no se ha actualizado desde el año 2017.

OWASP ha actualizado la metodología empleada para generar la lista Top 10. Ocho de cada 10 categorías se basan en datos y dos se han seleccionado en función de las respuestas de las encuestas de la industria.

Cuando la organización analiza la información de amenazas, proporcionada por empresas de ciberseguridad, hay factores de datos específicos que se utilizan para generar la lista Top 10. Estos incluyen el mapeo de software y hardware en base a la Common Weakness Enumeration (CWE), el porcentaje de aplicaciones vulnerables a un CWE en particular y su impacto en las organizaciones.

OWASP también tiene en cuenta el peso del exploit y las métricas promedio de una vulnerabilidad, en función de las puntuaciones de CVSSv2 y CVSSv3 (Common Vulnerability Scoring System), y el número total de aplicaciones que tienen CWE asignadas a una categoría, así como el número total de Common Vulnerabilities and Exposures (CVE) atribuibles a un tipo particular de amenaza.

Se han incluído tres categorías nuevas: "Diseño inseguro", "Fallos de integridad de datos y software" y un grupo para ataques de "Falsificación de solicitudes del lado del servidor (SSRF)".

La categoría "Entidades externas XML (XXE)" de 2017 pasa a formar parte de la categoría de "Configuración errónea de seguridad" de 2021. Por otro lado, se ha añadido "Cross-Site Scripting (XSS)" a la sección "Inyección" y "Deserialización insegura" ahora forma parte de "Fallos en la integridad de los datos y software".

State of play: OWASP Top 10 changes in 2021 (draft edition)

OWASP se desplaza a la izquierda

La inclusión de "Diseño inseguro" y "Fallos en la integridad de datos y software" muestran cómo la industria del software continúa desplazándose hacia la izquierda (Shifts Left) al centrarse más en el diseño y la arquitectura seguros así como en el modelado de amenazas.

“A menudo, el diseño seguro y el modelado de amenazas se pasan por alto debido a la velocidad del desarrollo actual. También es importante ver finalmente a OWASP destacando la seguridad del desarrollo de software y la integración CI/CD de procesos como otra área de enfoque a tener en cuenta" ha destacado Tom Eston, director de práctica de seguridad de aplicaciones en Bishop Fox.

OWASP Top 10: la lista completa

1. A01:2021-Broken Access Control: 34 CWEs. Access control vulnerabilities include privilege escalation, malicious URL modification, access control bypass, CORS misconfiguration, and tampering with primary keys.

2. A02:2021-Cryptographic Failures: 29 CWEs. This includes security failures when data is in transit or at rest, such as the implementation of weak cryptographic algorithms, poor or lax key generation, a failure to implement encryption or to verify certificates, and the transmission of data in cleartext.

3. A03:2021-Injection: 33 CWEs. Common injections impact SQL, NoSQL, OS command, and LDAP, and may be caused by sanitization failures, XSS vulnerabilities, and a lack of protection for file paths.

4. A04:2021-Insecure Design: 40 CWEs. Insecure design elements vary widely, but are generally described by OWASP as “missing or ineffective control design”. Areas of concern include a lack of protection for stored data, logic programming problems, and displaying content that reveals sensitive information.

5. A05:2021-Security Misconfiguration: 20 CWEs. Applications may be considered vulnerable if they lack security hardening, if there are unnecessary features – such as a too-open hand when it comes to privileges – if default accounts are kept active, and if security features are not configured correctly.

6. A06:2021-Vulnerable and Outdated Components: Three CWEs. This category focuses on client and server-side components, failures to maintain components, out-of-date support systems – such as an OS, web servers, or libraries – as well as component misconfiguration.

7. A07:2021-Identification and Authentication Failures: 22 CWEs. Security issues include improper authentication, session fixation, certificate mismatches, permitting weak credentials, and a lack of protection against brute-force attacks.

8. A08:2021-Software and Data Integrity Failures: 10 CWEs. Integrity is the focal point of this category, and any failure to do so properly – such as the deserialization of untrusted data, or not checking code and updates when pulled from a remote source – may be in scope.

9. A09:2021-Security Logging and Monitoring Failures: Four CWEs. Issues that can hamper the analysis of a data breach or other form of attack, including logging problems, failing to record security-relevant information feeds, or only logging data locally come under this category.

10. A10:2021-Server-Side Request Forgery: One CWE. SSRF vulnerabilities occur when a server does not validate user-submitted URLs when they fetch remote resources. OWASP says that the adoption of cloud services and increasingly complex architectures have ramped up the severity of SSRF attacks.

Colaboradores

Las siguientes organizaciones (junto a algunas entidades anónimas) amablemente donaron datos de más de 500,000 aplicaciones para recopilar el conjunto de datos de seguridad de aplicaciones web más grande y completo.

AppSec Labs	GitLab	Micro Focus	Sqreen
Cobalt.io	HackerOne	PenTest-Tools	Veracode
Contrast Security	HCL Technologies	Probely	WhiteHat (NTT)

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

El reto de las empresas en 2021, la Protección de Datos y la Ciberseguridad

Hablar de Internet como el gran canal de comunicación o el escenario donde se mueven multitud de transacciones comerciales no parece una novedad en pleno 2021, pero conviene recordarlo debido al gran vuelco que ha dado la sociedad debido a la pandemia del coronavirus.


El Covid 19 ha demostrado la vulnerabilidad que tiene la población global para defenderse frente a amenazas invisibles y esa capacidad de defensa tan mermada guarda mucha relación, precisamente, con el proceso de globalización.

Durante 2020 hemos sido partícipes de una nueva reinvención de internet como escenario, el ciberespacio, donde se concentran la información de personas y empresas, transacciones económicas, conversaciones, negocios, conocimiento ...

Todo esto supone una importante ventaja para la población y las empresas, pero implica también sus riesgos, de ahí la necesidad de impulsar sistemas de protección de datos potentes y redes de ciberseguridad que alejen los ataques cibernéticos, los intentos de fraude y el robo de información.

Foto de Tecnología creado por rawpixel.com - www.freepik.es

La protección de datos, porque navegar por internet conlleva un precio

Las nuevas tecnologías, y cada cual que introduzca en este término las que considere realmente como novedosas, han dotado a usuarios e instituciones mayor libertad para gestionar su actividad laboral, su vida personal o sus finanzas.

Todo ello lo hacen, aparentemente, bajo una pátina de gratuidad, pues nadie te dice que internet no sea gratuito, pero la realidad es que el pago que se entrega es exponer datos personales de relevancia que pueden dejar expuesta nuestra privacidad.

Aparecen así dos conceptos de gran relevancia, la ciberseguridad y la protección de datos. Para el segundo existe normativa muy desarrollada, el Reglamento de Protección de Datos, que exige a las organizaciones que manejan datos de clientes y usuarios en internet garantizar la seguridad de esa información incluso antes de adquirirlos.

El incumplimiento de esta legislación puede acarrear grandes multas para las compañías que tratan con datos personales. A su vez, las empresas también pueden ver comprometida su información mediante ataques cibernéticos, y es ahí donde aparece el concepto de ciberseguridad.

La importancia de la ciberseguridad y el auge de estos profesionales

No existe una definición oficial para el término ciberseguridad, pero sí una oficiosa y generalizada que habla de todas aquellas acciones encaminadas a proteger los datos generados a partir de los dispositivos conectados a internet.

De este modo, ciberseguridad y protección de datos son conceptos íntimamente relacionados y que van de la mano. La creciente preocupación por la privacidad en internet está justificada pues cada día se producen ataques cibernéticos que exponen información sensible ante los piratas informáticos.

Este fenómeno está impulsando una demanda muy alta de profesionales especializados en esta materia: técnicos de ciberseguridad, ingenieros de datos, expertos en Big Data y un largo etcétera de disciplinas cada vez más necesarias en las empresas.

Por este motivo también han aparecido en los últimos años sistemas que permiten validar esa formación o esos estándares de seguridad que implementan las empresas en sus organizaciones para impulsar mayor confianza entre los consumidores.

La norma ISO 27001 es un ejemplo de ello, pues certifica que la compañía que está en posesión de ella cuenta con sistemas de seguridad y confianza que protegen la información que manejan, ya sea interna o datos recibidos de clientes y socios.

En el terreno de los profesionales también aparecen certificados como el CCDP y el CCSP, que demuestran que la persona que los obtiene está capacitada para tratar sistemas de protección de datos y cuenta con formación suficiente para implementar estrategias de ciberseguridad.

Una profesión cada vez más demandada

Todo este proceso de digitalización constante de la sociedad y entrega aceptada de datos a la red está generando un crecimiento en la demanda de los profesionales de la ciberseguridad. Estos, para ser atractivos de cara a un posible empleo, deben primero formarse suficientemente a través de un Máster en Protección de Datos y otras ofertas educativas centradas en todo esta área.

Se estima que el coste anual del cibercrimen alcanzará los seis billones de dólares, según afirma Julen Mur, responsable de Hays, empresa especializada en recursos humanos. La ciberseguridad tiene grandes expectativas de crecimiento y empleabilidad a corto, medio y largo plazo.

Las nuevas formas de trabajo mucho más digital han potenciado esa exposición a los riesgos cibernéticos, pero también ha significado un mayor interés en las disciplinas mencionadas anteriormente, todas ellas de corte tecnológico.

Estar presente en internet obliga a proteger nuestra privacidad, y eso solo es posible siendo conscientes de a quién entregamos nuestros datos y cómo se protegen frente a las vulnerabilidades.

Tal vez te interese conocer algunos de estos temas:

• ¿Por qué deberías estudiar un grado en Ingeniería Informática?
  
  
• Mantente alerta para detectar y reaccionar frente a intentos de fraude
  
  
• Blockchain para empresas: entre falsos mitos y consejos de experto
  
  
• Machine Learning: la importancia de la automatización de decisiones
  
  

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Mantente alerta para detectar y reaccionar frente a intentos de fraude

En los úlitmos años, las empresas están experimentando un número creciente de intentos de fraude, con el propósito de robar dinero de la propia compañía, sus clientes o sus proveedores. A continuación se mencionan algunos de los ejemplos basados en intentos reales y los 10 consejos principales para evitar los intentos de fraude.


Con estas directivas, te protegerás a ti mismo y a tu negocio frente a esta amenaza. Algunos ejemplos detectados en diferentes países a lo largo del tiempo:

• En el departamento financiero, varios colaboradores son contactados por teléfono u otros medios por personas que se hacen pasar por un Director o incluso el CEO. Típicamente solicitan que se haga una transferencia bancaria de forma urgente y confidencial. También pueden solicitar nombres o teléfonos de otros cargos u otra información corporativa sensible. Este tipo de llamadas a menudo ocurren justo antes de algún periodo de vacaciones o a última hora de la jornada para tratar de evitar cualquier control.
  
  
• Otros colaboradores han recibido emails falsos solicitando que cambien la cuenta bancaria asociada a algún pago regular (por ejemplo, alquiler de oficina).
  
  
• Los clientes y proveedores también están afectados por estos intentos de fraude. Algunos han recibido falsos números de cuenta bancaria y han terminado pagando a los estafadores pensando que estaban pagando a su compañía. Algunos proveedores han recibido instrucciones de entrega de material informático en direcciones falsas, asociadas a pedidos falsos.

.

Technology photo created by freepik - www.freepik.com

Mantente alerta

Los estafadores están bien organizados, tienen alta especialización, y usan técnicas avanzadas para tratar de engañarte. Disponen de recursos para mejorar sus opciones de éxito: pueden organizar fácilmente llamadas telefónicas falsas, correos fraudulentos, portales web ilícitos, o incluso hacer uso de las redes sociales. Se trata de organizaciones criminales que suponen una amenaza real para las empresas. Tu vigilancia es esencial para contribuir a la protección de tu negocio.

Diez consejos para evitar los intentos de fraude

1- Usa el sentido común. Si el mensaje parece extraño por cualquier motivo (i.e. contenido mal redactado, vocabulario inusual, etc.), o demasiado bueno para ser cierto, ¡no respondas!.

2- Nunca actúes en base únicamente a la primera llamada. Toma tu tiempo para verificar y comprobar la identidad del interlocutor. Pide que se identifique y solicita un número al que devolverle la llamada (y compruébalo en el directorio corporativo). En la mayoría de los casos, eso ya puede disuadir al interlocutor, en caso de tratarse de un intento de fraude.

3- Identifica señales de alerta. Nunca te pedirán que hagas una transferencia bancaria o te solicitará información confidencial sin seguir el proceso normal.

4- Sigue los procesos de negocio establecidos en tu unidad y las reglas de seguridad. Algunos departamentos como Finanzas o Compras tienen definidas reglas estrictas para detectar y bloquear estos intentos maliciosos de fraudes financiero. Contacta por favor con tu CFO local o tu Director de Compras.

5- Solicita ayuda/soporte de tu jefe directo en relación con cualquier situación extraña, inusual o sospechosa que te llegue.

6- Sospecha de cualquier email inesperado, con adjuntos o links que sean extraños. Para ayudarte a detectar emails maliciosos o de phishing, actualmente aparece un mensaje en rojo en la parte superior de los emails externos que se reciben. El propósito de este aviso es recordarte que estés alerta y que revises el mensaje con detalle, al tener un origen externo.

7- Nunca reveles información corporativa a alguien que no conoces. Ten cuidado con los mensajes o llamadas telefónicas que piden información sobre contactos, datos personales o información financiera, por ejemplo.

8- Nunca proporciones información corporativa (organigramas o contactos personales) en portales web públicos.

9- Los estafadores a menudo intentan suplantar a personal de soporte técnico, proponiendo por ejemplo arreglar algo en tu ordenador o instalar software nuevo. Si la llamada no la iniciaste tú, solicita un número al que devolverle la llamada (y compruébalo en el directorio corporativo). En la mayoría de los casos, eso ya puede disuadir al interlocutor, en caso de tratarse de un intento de fraude.

10- No hagas clic en ventanas publicitarias ("pop-ups", "ads") en portales web públicos.


Y un consejo adicional: en las conversaciones por email que recibes de otros compañeros y que acumulan un número elevado de receptores, revisa que entre dichos receptores no se hubiese incluido ningún email no autorizado, externo o falso (es conveniente revisar la dirección real, no el "alias" que se pudiera mostrar). Especialmente en emails en los que se esté transmitiendo información sensible. Es otro truco típico de ingeniería social con el objetivo de que la información sensible se reenvíe a personal no autorizado.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Cómo proteger los dispositivos móviles frente a amenazas de seguridad

Los dispositivos móviles permiten que los usuarios lleven a cabo su actividad vayan donde vayan. Gracias a la expansión del comercio internacional, las conexiones móviles han pasado al primer plano de muchas estrategias de negocio. Podemos estar conectados en todo momento y en cualquier lugar: en aviones y en coches, en casa, en un hotel o una cafetería, y en la oficina.

Cuando hablamos de dispositivos móviles, nos referimos a dispositivos como los portátiles ligeros y los ultraportátiles, la tabletas, los smartphones y los asistentes digitales personales.

Al mismo tiempo, el aumento del uso de los dispositivos móviles implica que la seguridad sea un factor muy importante para proteger la información confidencial. Casi todos los dispositivos están conectados a Internet, lo que abre una puerta a los ataques malintencionados dirigidos a los documentos corporativos confidenciales, al correo electrónico, fotos, vídeos, así como a cualquier otra información personal, como la información bancaria o la lista de contactos.

Foto de Tecnología creado por rawpixel.com - www.freepik.es

1.- Amenazas a dispositivos móviles

La causa de los mayores riesgos de seguridad asociados a los dispositivos móviles es, precisamente, el hecho de poder llevarlos donde queramos. Los dispositivos móviles no solo son vulnerables a los ataques malintencionados, sino que también lo son a las amenazas malintencionadas que proceden del interior de la empresa.

Los dispositivos móviles usan la tecnología de redes inalámbricas para conectarse a las redes, que son más susceptibles a los ataques que las redes por cable. También es más fácil acceder a la información que se transporta. Estos servicios también pueden almacenar datos que, a menudo, están desprotegidos. Son vulnerables a los ataques de red y son un blanco fácil para los robos, que pueden hacer que la información confidencial se use de forma inapropiada.

Los dispositivos móviles también se han convertido en objetivos populares para el malware. El malware suele estar programado para usar un dispositivo infectado como medio para propagarse a otros dispositivos. Las funciones de hardware, como las cámaras web y los micrófonos, son puntos fáciles de entrada a través de protocolos y software asociados.

Las amenazas a la seguridad de los dispositivos móviles se dividen en tres categorías amplias: amenazas físicas, amenazas de malware y amenazas de red inalámbrica.

1.1- Amenazas físicas

Las amenazas físicas son los robos o las pérdidas de dispositivos. Los robos y las pérdidas son una amenaza directa para los datos almacenados en el dispositivo, ya que normalmente no se habrán establecido mediadas para protegerlos. Los usuarios pueden contribuir a evitar esta situación si son más cuidadosos con sus dispositivos móviles y si hacen todo lo posible para que no caigan en las manos equivocadas.

Siempre que sea posible, los usuarios malintencionados usarán los datos comprometidos para iniciar ataques contra la infraestructura y los sistemas de TI de su organización, lo que puede afectar a la confidencialidad del cliente, la pérdida de información corporativa, así como perjudicar a la reputación de la organización.

1.2- Amenazas de malware

Las amenazas de malware a los dispositivos móviles son las mismas que para los equipos de escritorio, llegando incluso a ser más destructivas. Esto sucede principalmente porque los programas antivirus para los dispositivos móviles no se han desarrollado al mismo nivel que los de escritorio.

Entre los tipos de malware más populares se encuentran los virus, gusanos, troyanos, spyware, backdoor, adware, rootkit, spam y spim, entre otros.

1.3- Amenazas de red inanlámbrica

Una red inalámbrica es una red de dispositivos que están conectados entre sí mediante la tecnología inalámbrica. La red también puede incluir unos cuantos componentes por cable pero, por norma general, la comunicación se produce de forma inalámbrica. Normalmente, las conexiones se establecen a través de diferentes longitudes de ondas o de ondas electromagnéticas de baja frecuencia. Este tipo de red se conoce como red de área local inalámbrica o WLAN.

El hecho de que la red sea inalámbrica la expone a cualquiera que tenga el tipo de interfaz de red adecuado. De hecho, interceptar una red inalámbrica es parecido a interceptar una conversación de la que se entiende el idioma en el que se habla.

Esto significa que las redes inalámbricas son bastante menos seguras que las redes por cable, si el acceso no está muy controlado. Las intrusiones en la red pueden ocasionar robos y daños en los datos, lo que puede perjudicar la actividad comercial de una empresa.

Hay dos tipos de amenazas asociadas con los ataques a las WLAN:

• Wardriving: consiste en buscar WLAN no seguras mediante un portátil o un dispositivo móvil desde un vehículo en movimiento. Una WLAN no segura suele ser una red controlada por un punto de acceso no cifrado, también conocido como AP.
  
  
• Warchalking: consiste en señalar las WLAN no seguras que se han descubierto gracias al wardriving dibujando símbolos o letras en la zona en la que se encuentran.

Bluetooth es un sistema de comunicación a través de una red inalámbrica de corto alcance que se usa normalmente en los teléfonos móviles, en los smartphones y en los portátiles. Los dispositivos Bluetooth se dividen en tres clases que permiten comunicarse en una distancia de entre uno a cien metros.

Quizás los usos más comunes de Bluetooth en los dispositivos móviles sean el uso manos libres del dispositivo y la comunicación a corta distancia entre dispositivos.

Podemos señalar tres motivos principales de preocupación relacionados con el uso de los dispositivos Bluetooth:

• la autenticación y la autorización: la conexión Bluetooth entre dos dispositivos se autentica a través del intercambio de las claves de paso configuradas en cada dispositivo. Las claves de paso deben cambiarse con frecuencia para optimizar la seguridad. Sin embargo, la clave predeterminada no suele cambiarse. Puede proteger su dispositivo si consulta la lista de sincronizaciones, una lista que muestra los dispositivos que actualmente están conectados a su dispositivo.
  
  
• la detección de dispositivos: el modo de detección es una parte esencial del dispositivo Bluetooth, que permite detectar un dispositivo para que pueda conectarse con otro dispositivo habilitado para Bluetooth. Esto podría facilitar que un posible atacante encuentre su dispositivo entre la multitud, aunque lo tenga guardado en el bolsillo o en un bolso. Puede desactivar la detección Bluetooth para proteger su dispositivo.
  
  
• el malware: los dispositivos Bluetooth también son vulnerables al malware, especialmente a los gusanos, y a la seguridad de las aplicaciones. La mejor forma de proteger el dispositivo es garantizar que el firmware esté actualizado y saber qué dispositivos están conectados al suyo.

Hay dos tipos de ataques a través de Bluetooth:

• Bluejackinges: es el uso de una conexión Bluetooth para enviar mensajes, fotos o vídeos no solicitados que puedan transmitir malware a un dispositivo móvil.
  
  
• Bluesnarfinges: aprovecharse de un punto débil en una conexión Bluetooth para omitir el procedimiento de autenticación y obtener acceso a un dispositivo. Las últimas actualizaciones de Bluetooth han corregido esta última vulnerabilidad. Sin embargo, la clave de paso de 4 dígitos sigue siendo vulnerable a los métodos de fuerza bruta que se emplean para averiguar la contraseña.

2.- Proteger los dispositivos móviles

Es importante que todos los usuarios comprendan la importancia de proteger los dispositivos móviles y las repercusiones de gran alcance derivadas de una negligencia.

El cifrado de datos es esencial y proporciona un alto nivel de seguridad a los datos que se transmiten a través de una red inalámbrica. También protege los datos almacenados en un dispositivo que se ha perdido o ha sido robado, ya que no se pueden leer sin la clave de descifrado correspondiente.

El cifrado de datos también tiene un papel fundamental en la protección de las redes inalámbricas contra el wardriving y el warchalking. Existen dos protocolos comunes para cifrar datos de una red:

• WEP: el protocolo WEP (del inglés Wired Equivalent Privacy) puede usarse tanto en dispositivos antiguos como en los más recientes. Sin embargo, no es tan popular como el WPA porque su sistema de cifrado no es perfecto.
  
  
• WPA: el protocolo WPA (del inglés WiFi Protected Access) mejora y resuelve los problemas de cifrado que presenta el protocolo WEP. WPA también proporciona al dispositivo la posibilidad de autenticarse en un servidor de red.

El departamento de seguridad de la información de una organización suele tener una herramienta centralizada para implementar una política de seguridad en los dispositivos mediante la realización de los siguientes procedimientos: el uso de contraseñas, el cifrado de los contenidos, la implementación remota de aplicaciones y, en caso de pérdida de dispositivo, el uso de la función de bloqueo y borrado remoto.

Además, debe tener una política sobre el uso aceptado de dispositivos móviles que debe seguir.

Para que los dispositivos inalámbricos operen en una WLAN, todos los dispositivos deben usar el mismo nombre de red, llamado SSID (del inglés Service Set Identifier), que puede tener hasta 32 caracteres. Piense también en configurar una red inalámbrica para garantizar que las transmisiones estén protegidas contra ataques externos.

Una configuración como esta inhabilitaría la difusión del SSID. En la mayoría de los casos, los hardware de la WLAN vienen de fábrica con un SSID predeterminado, por lo que se recomienda cambiarlo como primer paso. Muchos administradores cambian este nombre por un nombre lógico que pueda identificar la red, pero es más recomendable crear una palabra con caracteres sin sentido.

Cuando deshabilita la difusión del SSID, los posibles atacantes no podrán conectarse a la red sin conocer el SSID. Deberá configurar cada dispositivo para que use el nuevo SSID cuando se conecte a la red. Aunque esto cree un nivel de seguridad adicional, sigue sin proporcionar una protección completa al acceso no autorizado.

Los usuarios finales tienen un papel importante a la hora de proteger la información sensible. Sobre todo, debe asegurarse de no dejar de supervisar nunca su dispositivo móvil, ya que cualquiera podría robárselo. Esto es incluso más importante cuando viaja, ya que no conoce su entorno.

También puede exigir la autenticación de encendido para los dispositivos móviles que se conecten a la red. Esta función solicitará una contraseña o PIN al usuario incluso antes de que el dispositivo esté completamente operativo.

La mayoría de los dispositivos disponen de una función de bloqueo automático que se activa cuando no se ha usado durante un cierto periodo de tiempo. También puede configurar una contraseña que debe introducir para desbloquear el dispositivo. Además, puede cifrar los datos de su dispositivo para protegerlo en caso de pérdida o robo.

Existen otros problemas que debe resolver para proteger el dispositivo y sus datos: la seguridad de las contraseñas, la discreción de los programas, las copias de seguridad, la mensajería instantánea y el correo electrónico, y Bluetooth.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

DevSecOps - como integrar la seguridad en procesos DevOps

Las aplicaciones de software son complejas y pueden ser vulnerables a una amplia variedad de problemas de seguridad. La cultura empresarial frecuentemente sitúa la seguridad en la fase final del ciclo de vida del desarrollo de software. DevSecOps se centra en desplazar la seguridad hacia la izquierda, es decir, en lugar de adoptar un sistema de respuesta a incidentes, todos son responsables de la seguridad desde el principio, incluso en las etapas de planificación.

DevSecOps fusiona la seguridad, el desarrollo y las operaciones para que actúen de forma conjunta y lograr un objetivo común al realizar mejoras en los procesos, herramientas y colaboraciones en equipo.

¿Qué es SDLC?

El ciclo de vida del desarrollo de software, conocido por las siglas en ingles SDLC o Systems Development Life Cycle, es un proceso de construcción o mantenimiento de sistemas de software y representa las diferentes fases que, por lo general, incluyen desde el análisis preliminar hasta las pruebas y evaluación posteriores al desarrollo del software.

Este proceso incorpora los modelos y metodologías que los equipos de desarrollo utilizan para desarrollar software, metodologías que constituyen el marco para planificar y controlar todo el proceso de desarrollo.

Metodologías SDLC

Actualmente, hay dos metodologías SDLC que son utilizadas por la mayoría de los desarrolladores de software, la metodología tradicional y metodología ágil.

En el ciclo de vida de desarrollo tradicional, los desarrolladores y sus equipos suelen fijar reuniones con otros equipos involucrados en el proceso SDLC con el objetivo de detallar los requisitos funcionales y de diseño previos al comienzo de la implementación.

A la fase de diseño le sigue la fase de codificación. La fase de pruebas tiene lugar cuando se completa todo el proceso de codificación y solo se presenta el producto final a las partes interesadas después de que en estas pruebas no se detecte ningún problema.

Una de las desventajas de esta metodología tradicional es que los equipos construyen el sistema de manera "única". En el supuesto de que surja un problema durante la fase de pruebas, lo peor de este escenario es que todo el módulo/desarrollo tiene que revertirse para rectificar ese problema.

Otro inconveniente del SDLC tradicional es que, en la mayoría de los casos, las partes interesadas no conocen a priori lo que realmente quieren implementar en el sistema, por lo tanto, el modelo de requisitos diseñado en las fases anteriores puede no cumplir con las características reales que deben implementarse.

Las solicitudes de cambio de los usuarios o partes implicadas pueden establecerse después de que el producto final sea presentado y lanzado al mercado y este cambio puede causar varios problemas de compatibilidad e integridad del software.

Con todos estos inconvenientes, surge la necesidad de establecer un proceso iterativo donde los cambios puedan realizarse de forma más ágil.

Es en este punto dónde se crea la metodología ágil para los procesos de desarrollo de software donde el cliente está presente en todas las fases de desarrollo.

Esta metodología facilita la interacción entre todas las partes implicadas ya que se pone el foco en las personas y no en los procesos, permitiendo dimensionar los proyectos de forma más eficiente minimizando los riesgos.

Cultura DevOps

Sin embargo, la metodología Agile no resuelve el problema de comunicación entre los diferentes elementos que conforman el proceso de desarrollo de un sistema software: el equipo de desarrollo y el equipo de operaciones.

El término DevOps se conforma combinando las palabras "desarrollo" y "operaciones" y supone un cambio cultural que cierra la brecha entre los equipos de desarrollo y operación.

DevOps no es simplemente un proceso o un enfoque diferente para el desarrollo, es un cambio de cultura que implica un cambio de mentalidad, una mejor colaboración y una integración más estrecha.

Modelo DevSecOps

Este modelo integra la seguridad en el proceso DevOps ayudando a prevenir y abordar los riesgos de seguridad a medida que aparecen en el ciclo de desarrollo.

Este tipo de seguridad incorporada a DevOps tiene como objetivo incluir una cultura y prácticas de seguridad en todo el flujo de trabajo de DevOps dando como resultado un lanzamiento de producto más rápido y seguro.

La incorporación de medidas de seguridad en las primeras fases del desarrollo de software supone un ahorro en costes generales para cualquier organización y la seguridad debe adoptar un enfoque de responsabilidad compartida entre todos los miembros de los equipos IT: seguridad, desarrollo y operaciones.

En esencia, DevSecOps ha cambiado la naturaleza misma de cómo se debe implementar la seguridad de las aplicaciones y hace referencia a la seguridad integrada y no su perímetro de seguridad.

Laboratorio

Trabajo Fin de Máster (nota 8.77)

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Seguridad en la nube: mitos y realidades

Las tecnologías en la nube ofrecen a las organizaciones en cada sector ventajas en cuanto a costo y eficiencia, pero aún persisten varios mitos acerca de la seguridad de los datos.


La necesidad de reducir costes y aprovechar las nuevas características y capacidades son fuertes impulsores para la migración de soluciones locales a la nube.

La tendencia actual de adopción de la nube sugiere que muchas empresas están aplicando un enfoque equilibrado de actividad on cloud apostando por una estrategia híbrida de público y privado.

A medida que continúa la migración a la nube y las organizaciones se benefician de la agilidad que brindan las soluciones en este espacio, se han generado varios aspectos negativos en gran parte por la inexperiencia trabajando con soluciones cloud.

Foto de Negocios creado por creativeart - www.freepik.es

Mito n.º 1: la nube no es segura

Cuando se utiliza de manera adecuada, la nube es tan segura como un centro de datos típico.

La nube en sí no es intrínsecamente insegura.
Cuando se descubren evidencias de seguridad, en la mayoría de los casos, son debidas a una configuración de nube incorrecta o código de cliente vulnerable pero no a fallos de seguridad en la propia nube, en el software o la infraestructura del proveedor.

Las grandes organizaciones parecen tener menos confianza sobre la seguridad de sus datos en la nube pública en comparación con las pymes. Esta incertidumbre es alimentada por la creencia de que existe una gran complejidad en la red de servidores conectados, en la migración a la nube y aplicaciones heredadas que son incompatibles con los entornos o servicios cloud.

El 94% de los pequeños negocios señaló ventajas de seguridad después de migrar a la nube (Microsoft. Driving Growth Together: Small Business and the Cloud).

Mito n.º 2: mi organización no usa la nube

El término "cloud" incluye la categoría de software como servicio (SaaS) y prácticamente todas las organizaciones utilizan algún tipo de servicio web, ya sea en el sector de recursos humanos, banca, eCommerce, marketing, alojamiento web o cualquiera de las demás actividades que se realizan en los negocios actuales. Incluso si la política organizativa no permite explícitamente servicios on cloud o no hay evidencia manifiesta de uso de estos servicios, su negocio aún puede depender de la nube.

Es posible que su organización actualmente no almacene datos en la nube pero si es un cliente de banca en línea o usa servicios de alojamiento web, lo que hace, de hecho, es acceder a las tecnologías de la nube.

Para finales de este año, se prevé que el 83% del total de cargas de trabajo empresariales de EE.UU. estará en la nube (Forbes. 83% of Enterprise Workloads Will Be In The Cloud By 2020).

Mito n.º 3: el proveedor de la nube me mantendrá seguro

Bajo el modelo de responsabilidad compartida, el usuario de la nube es es el responsable final de proteger sus datos.

El proveedor de la nube garantiza que el hardware no esté comprometido y el software y sistemas operativos de cualquier servicio ofrecido sean seguros. Pero es el cliente el que tiene que comprobar que las máquinas virtuales estén parcheadas, las aplicaciones no sean vulnerables y los permisos correspondientes sean los apropiados.

El proveedor de la nube constata que las instalaciones del centro de datos son seguras pero su organización tiene la responsabilidad de salvaguardar sus datos específicos.

Modelo de responsabilidad compartida:

• Cliente: es el responsable de la seguridad de los datos "EN" la nube.
  
• Proveedor: es el responsable de la seguridad "DE" la nube.
  

En 2022, al menos un 95% de los fallos en la seguridad cloud será por culpa del cliente (Gartner. Clouds Are Secure: Are You Using Them Securely?).

Mito n.º 4: la nube es solo la computadora de alguien más

La nube no es una única computadora.
En la nube, es posible que una solicitud informática se distribuya a cientos o miles de computadoras.

Hay servicios de almacenamiento on cloud, contenedores y otros servicios no tradicionales a considerar además de las máquinas virtuales.

La configuración y controles de seguridad para estos servicios no usará implementaciones de seguridad tradicionales como firewalls y software antivirus. Además, estos servicios suelen utilizar un conjunto de APIs para comunicarse entre aplicaciones por lo que los conceptos de direcciones IP y sistemas operativos a menudo no se aplican.

Hay requisitos de visibilidad adicionales y una mayor planificación necesarios para proporcionar controles de seguridad e instrumentación de computadoras distribuidas.

Por ejemplo, si una aplicación procesa fotos subidas por un usuario y un atacante envía una avalancha de fotos no solicitadas para procesarse, la aplicación puede escalar asumiendo el propietario de la aplicación los costes adicionales.
La infraestructura de la nube puede poner límites para ayudar en casos como este, pero deben entenderse bien y configurarse por adelantado.

Mito n.º 5: los adversarios avanzados no atacan la nube

Los atacantes persiguen los datos. A medida que los datos ingresan a la nube, también lo harán los atacantes.

La organización media puede moverse más rápidamente y reducir costes operando en la nube, pero debe entender que cualquier activo de valor que ubiquen allí será un objetivo y deben proteger los recursos en consecuencia.

Esto significa que no solo se deben implementar las mejores prácticas para la seguridad on cloud sino también ser conscientes del aumento de la actividad por parte de atacantes avanzados que buscan datos en la nube.

La mitigación de amenazas en la nube requiere dos aspectos fundamentales:

• telemetría de datos sobre los que aplicar operaciones de seguridad.
  
• modelos de amenazas que determinen qué herramientas, tácticas y procedimientos de los adversarios deben ser abordados y mitigados.
  

Y a su vez se pueden dividir en cuatro categorías de capacidades:

• Inteligencia: aplicación de indicadores de inteligencia de amenazas.
  
• Reglas: aplicación de patrones de amenaza conocidos.
  
• Analítica: organización de la telemetría para mostrar anomalías.
  
• Hunting: búsquedas basadas en hipótesis.
  

Aproximadamente 1/4 de las investigaciones de respuestas ante incidentes involucra activos alojados en una nube pública.

Con las altas expectativas a nivel mundial para los servicios de cloud pública, se espera que el mercado crezca y es hora de desmitificar estas falsas creencias para que las organizaciones puedan obtener visibilidad y tomar el control de sus operaciones en la nube.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Los mejores podcast de ciberseguridad

El podcasting o podcast consiste en la distribución de archivos digitales de audio que un usuario puede descargar para copiar y escuchar en un dispositivo personal posteriormente a su difusión original y que permite suscribirse de manera opcional. Fuente: Wikipedia


Durante años, los podcasts de seguridad de la información han sido un medio popular para cubrir noticias de seguridad, estar al día de las amenazas más frecuentes, aprender sobre incidentes recientes y todo lo que necesitas saber para mantenerte informado en el campo de la seguridad digital.

Para estar al día sobre lo que acontece en el sector de la ciberseguridad, paso a citar algunos de los podcast en castellano más interesantes.

Tierra de Hackers
https://www.tierradehackers.com/

---

Tu noticiero de ciberseguridad hecho podcast - Por Martin Vigo y Alexis Porros.

“Notas y referencias de episodios: tierradehackers.com”

---

Cosas de Hackers
https://www.ivoox.com/cosas-hackers_sq_f1876480_1.html

---

El Podcast más canalla sobre CiberSeguridad & Transformación Digital - Presentado por @Avalos_Morer y @TheXXLMAN.

“Cosas de Hackers - 100% independiente!”

---

Securizando
https://securizando.com/category/podcast/

---

Podcast sobre seguridad informática por un ingeniero de redes - @securizando_.

“Aquí encontrarás explicaciones, lo más claras posibles, sobre qué es qué y cómo funciona el mundo de la seguridad informática”

---

Seguridad Overflow
https://seguridadoverflow.com/c/podcast/

---

Seguridad informática y blockchain acompañado de tonterías pseudoaleatorias.

“Un podcast-blog casero sobre seguridad informática y criptomonedas (principalmente Bitcoin Cash)”

---

Palabra de Hacker
https://www.ivoox.com/podcast-palabra-hacker_sq_f1266057_1.html

---

Palabra de hacker, ciberseguridad de tú a tú by Yolanda Corral. Síguelo en Twitter en @Palabradehacker y descubre toda la información en la web: https://www.yolandacorral.com/palabra-de-hacker

“Está dedicado al mundo de la seguridad informática donde el verbo hackear y el sustantivo seguridad se dan la mano para aprender con los mejores profesionales y construir entre todos una red más segura”

---

#ElevenPathsRadio
https://www.ivoox.com/podcast-elevenpathsradio_sq_f1715143_1.html

---

Un podcast en el que podrás escuchar interesantes entrevistas con las voces más relevantes del sector de la ciberseguridad y la actualidad más destacada analizada por nuestros Chief Security Ambassadors.

“Los mejores contenidos sobre transformación digital, ciberseguridad, cloud, Big Data e IoT para empresas, ofrecidos por Telefónica”

---

Ocho Punto Ocho
https://www.ivoox.com/podcast-ocho-punto-ocho_sq_f1574483_1.html

---

Porque la convención de hackers más relevante de Latinoamérica encuentra un puerto en Radiodemente y Gabriel Bergel, nuestro sombrero blanco, nos enseñara y mostrará todo lo relacionado al mundo de la ciberseguridad..

“Espacio para hablar de cultura Hacker.
Ocho punto Ocho, cada miércoles a las 21 hrs y se repite los jueves a las 18 hrs y los domingos a las 16 hrs..”

---

CiberSeguridad al Día
https://www.ivoox.com/podcast-ciberseguridad-al-dia_sq_f1492913_1.html

---

El podcast "Ciberseguridadal día" está enfocado a desarrollar esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad - By Carlos Solís Salazar.

“Es un programa de profesionales para profesionales… y para toda persona que esté interesada en saber algo más o compartir sus conocimientos sobre un concepto tan amplio como es el de la seguridad.”

---

ClickCiber
https://www.ivoox.com/podcast-ciberseguridad-al-dia_sq_f1492913_1.html

---

Desde septiembre de 2018 realizamos un programa semanal de radio dedicado a la CiberSeguridad. La producción de programa es responsabilidad de CLICKRADIOTV. Desde sus estudios centrales en Madrid se graba el programa, tanto en versión audio como en video.

“El horario de grabación es Jueves de 19 a 20h en horario de Madrid. El programa es emitido por más de 60 emisoras de FM de toda España, y además sus Podcast están disponibles en todas las plataformas.”

---

Jose Maria Acuña Morgado - Web Developer & Ethical Hacking

Leer más