lunes, 18 de septiembre de 2017

Monitoreo + Concientización = Expectativa de Privacidad

Monitoreo + Concientización = Expectativa de Privacidad


Para comenzar con este post, me parece apropiado tomar una definición muy interesante y clara del libro CISSP All-in-One Exam Guide:

El concepto de privacidad es diferente al de seguridad. Privacidad es la habilidad de un individuo o grupo de controlar quién tiene cierto tipo de información sobre ellos. Es un derecho individual que permite determinar qué datos tendrá otra persona sobre uno mismo, quién tendrá permitido conocer esos datos y cuándo esas personas pueden accederlos. La seguridad se utiliza para hacer cumplir estos derechos de privacidad.
La privacidad es un tema realmente amplio y un sólo post no alcanzaría nunca para poder abarcarlo por completo. Es por eso que el presente se acotará sólo a la privacidad puertas adentro de las organizaciones, en específico a aquella que cada empleado espera tener respecto al monitoreo de sus actividades dentro de la organización y a la importancia que tiene esta expectativa en el marco legal.
 

El monitoreo de usuarios

Uno de los principales problemas que aqueja a las organizaciones en cuanto a la privacidad de sus empleados tiene que ver con el monitoreo de los mismos. Éste sucede por ejemplo cuando se realizan escuchas en llamadas telefónicas, se graban videos de seguridad o se guarda un registro del historial de navegación de los empleados.

El objetivo de una organización al llevar adelante este tipo de acciones pueden tener que ver con aumentar el rendimiento de los empleados, mejorar la satisfacción de los clientes, disuadir a los empleados de realizar acciones que están prohibidas, etc.

Antes de comenzar a monitorear la actividad de sus empleados, una organización deberá investigar exactamente qué puede y no monitorear antes de hacerlo según las leyes de privacidad que rijan en su país.

Por otro lado, debe aclararse que el monitoreo debe estar siempre relacionado al trabajo. Si un gerente tiene el derecho de escuchar las conversaciones de sus subordinados con sus proveedores, no significa que tenga también el derecho de escuchar conversaciones personales que no están relacionadas con el trabajo. El monitoreo a su vez debe ser realizado en forma consistente, de manera que todos los empleados estén sujetos al mismo monitoreo, no sólo una o dos personas.

La expectativa de privacidad

Quizá pueda parecer que con lo presentado hasta el momento cualquier organización puede comenzar sin problemas sus procesos de monitoreo. En realidad, podrán comenzar a hacerlo (muchas lo hacen), pero no sin problemas.

Falta tener en cuenta al actor principal de esta historia: la persona que va a ser monitoreada.

En pocas palabras, la organización debe concientizar a sus empleados para que sepan qué tipo de monitoreo puede ocurrir durante su trabajo. Esta es la mejor manera para una organización de protegerse legalmente, si es necesario, y evitar a su vez dar sorpresas a sus empleados.

Si una organización cree que es necesario monitorear los correos de sus empleados, esto debe ser explicado a los mismos, primero, a través de una política de seguridad, y luego a través de un recordatorio constante, como por ejemplo un newsletter o entrenamiento regular.

De la misma manera, cada persona no sólo debe saber a qué tipo de monitoreo puede estar sujeta, sino que también debe conocer exactamente cuáles son considerados comportamientos aceptables y cuáles son las consecuencias de no cumpir dichos comportamientos. Esto, además de ayudar legalmente a la organización puede disminuir los niveles de estrés, desconfianza e insatisfacción que el monitoreo puede causar a los empleados.

Por último, la organización deberá poseer un registro que respalde las acciones de concientización que ha realizado concernientes a este tema, que pueda ser tratado como un documento legalmente admisible. Este tipo de registro o documento que avale dicha concientización se conoce como renuncia a la expectativa razonable de privacidad, o (REP por sus siglas en inglés: reasonable expectation of privacy)

Si esto no sucede, cuando el monitoreo tome lugar, los empleados podrán reclamar que sus derechos de privacidad han sido violados y lanzar una demanda civil contra la organización.
 

Conclusión

En este artículo pudimos ver cómo la concientización y el entrenamiento van más allá de la creación de hábitos seguros para los usuarios, sirviendo en este caso como un instrumento indispensable a la hora de tratar con la expectativa de privacidad de cada una de las personas dentro de una organización.
Leer Más

martes, 5 de septiembre de 2017

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

El pasado 31 de agosto y 1 de septiembre, tuvo lugar el VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes, del cual SMARTFENSE fue Sponsor exclusivo.

pieza3agosto.png

Acerca del evento

El objetivo del evento ha sido brindar una actualización sobre los temas que se enumeran a continuación, de la mano de reconocidos especialistas del rubro:
  • Análisis de los casos de Ransomware. Estrategias a implementar
  • Plan de Continuidad del Negocio como acción mitigante del riesgo
  • Políticas de seguridad implementadas en Cloud Computing
  • Evolución del Phishing como Amenaza Persistente Avanzada
  • Cómo comunicar a otras áreas de la organización para prevenir los ciberdelitos
  • Mecanismos de protección ante grandes volúmenes de datos
  • Blockchain: cómo resguarda y cuáles son los potenciales casos de uso
  • Firma Digital: Beneficios e implementación.
  • Cómo gestionar los distintos eventos y proteger la información de una manera efectiva

WhatsApp Image 2017-08-31 at 23.41.51.jpeg

Usuarios: el tema principal

En su mayor parte, el evento giró en torno a la importancia del usuario para la seguridad de la información de las organizaciones.

Por un lado, se dejó claro que el mayor porcentaje de incidentes de seguridad de la información tienen como puerta de entrada al usuario. Uno de los datos más impactantes fue que el 91% de los problemas de seguridad comienzan con un ataque de Phishing, y tanto éste como el Malware se encuentran en los primeros puestos de las principales preocupaciones de las organizaciones en materia de seguridad.

Por otro lado, se remarcó, en base a lo mencionado en el párrafo anterior, la importancia de incluir al usuario en la estrategia de seguridad de la organización como una nueva e importante capa de seguridad para la misma.

De hecho, la Concientización fue nombrada por la audiencia como la primera medida a tomar en el caso de encarar la seguridad de la información dentro de una organización, lo cual da cuenta de que los responsables de seguridad poco a poco van tomando consciencia de la problemática que enfrentan al tener usuarios con hábitos inseguros, realidad que ya ha sido asumida en países del primer mundo hace tiempo.

DSC_0476.JPG

Entrega de premios

Además de apoyar económicamente el evento, desde SMARTFENSE hemos ayudado en la difusión del mismo, tanto previamente como en el transcurso del mismo, a la vez que entregamos material sobre nuestra plataforma, contribuimos en la evangelización acerca de la importancia del usuario final, y realizamos un pequeño desafío en el segundo día del evento, cuyos ganadores fueron premiados.


Leer Más

martes, 22 de agosto de 2017

Malware y Ransomware: ¿Cuál es la diferencia?

Malware y Ransomware: ¿Cuál es la diferencia?


Traducción del artículo original de VPN Mentor, que llega a nuestro blog en el marco de colaboración del proyecto NoMoreRansom!

El Ransomware es un nuevo tipo de Malware que ha puesto en práctica rápidamente sus capacidades y peligros, tras 638 millones de ataques ransomware en 2016, lo que equivale a más de 167 veces el número de ataques en 2015. 
Luego de que varias organizaciones y usuarios domésticos hayan sido víctimas de varios ataques cibernéticos, existe cierta confusión entre los términos de Malware y Ransomware.


¿Qué es un Malware?

El Malware es un término que designa al "software malicioso". Está especialmente diseñado para obtener acceso al ordenador del usuario. Puede rastrear los sitios que el usuario visita y provocar acciones que éste puede ignorar por completo. El Malware suele tomar forma de keyloggers, virus, gusanos o spyware y se puede utilizar para robar información confidencial o difundir correo no deseado por correo electrónico. Sin embargo, hoy en día, estos softwares engañosos por lo general se utilizan para generar una pila de ingresos a través de publicidad integrada.

Recientemente, un Malware, difundido por un comerciante digital chino que trabajaba para Rafotech, convirtió más de 250 millones de navegadores web en todo el mundo en motores de generación de ingresos por publicidad. Casi el 20 % de las redes corporativas se vieron afectadas por este Malware. Posteriormente, se descubrió que la mayor parte de la propagación del mismo se debió a la agrupación. El malware se instaló sin el permiso del usuario junto con algunos programas deseados como Deal Wifi, Mustang Browser, Soso Desktop y FVP Imageviewer.

Apenas una semana antes de este suceso, un Malware conocido como Judy infectó 36,5 millones de dispositivos Android. Este Malware se encontró en 41 aplicaciones, todas ellas desarrolladas por una empresa coreana, Kiniwini, que recurría a la misma estrategia de producir clics falsos en anuncios para generar ingresos a través de medios engañosos. La mayoría de las aplicaciones dañinas se encontraban en la tienda oficial de Google Play, lo cual suscita serias dudas sobre la seguridad de Android.

Además, hace poco, se detectó un Malware descontrolado conocido como Crash Override que provocó un corte de energía en la capital de Ucrania, Kiev. Es el primero que ha atacado una red eléctrica, lo que nos da una pista de las desastrosas consecuencias que podrían tener los programas maliciosos.


¿Qué es un Ransomware?

Un Ransomware es básicamente un tipo de malware que bloquea el ordenador y prohíbe acceder al mismo hasta que se pague un rescate exigido, que suele solicitarse en forma de Bitcoins. Hoy en día, en lugar de bloquear el teclado o el ordenador del usuario, se cifra cada archivo con una clave privada que sólo conocen los autores del Ransomware. Sin embargo, no se garantiza que al pagar el rescate se desbloquee el ordenador.

En mayo de 2017, un ataque cibernético a gran escala generado por el Ransomware Wannacry infectó más de 300000 ordenadores en 150 países. Sólo equipos con sistema operativo Windows se vieron afectados.

Otro Ransomware, conocido como Petya, ha interrumpido el funcionamiento de varias empresas de Europa, Oriente Medio y Estados Unidos.

Recientemente, se ha descubierto que Petya no es un Ransomware, sino un "malware Wiper" letal para el ordenador. Los investigadores han hallado que Petya está diseñado para parecer un Ransomware. Su estructura no tiene ningún esquema de recuperación de información en absoluto. Tras reiniciar el ordenador de la víctima, Petya cifra la tabla de archivos maestros (MFT) del disco duro y ocasiona fallos en el registro de arranque maestro (MBR). El código encriptado se reemplaza por su propio código malicioso, lo que le prohíbe arrancar su equipo y, a continuación, una pantalla muestra una nota de rescate. Sin embargo, la nueva variante de Petya no conserva ninguna copia del MBR reemplazado. Por tanto, aunque la víctima reciba la clave de descifrado, no puede arrancar su dispositivo informático.


¿Cómo se difunden el Malware y el Ransomware?

La mayor parte de la propagación del Malware se produce por correos electrónicos con enlaces que afirman tener cierta información que los usuarios con pocos conocimientos informáticos pueden encontrar interesante. Una vez que el usuario hace clic en dicho enlace, se le redirige a un sitio web falso que parece real. A continuación, para acceder a la información o al programa requerido, se solicita al usuario que descargue un software. Si el usuario descarga ese software, su ordenador se infecta. Entre las principales fuentes de ataques cibernéticos se encuentran los sitios web y las ventanas emergentes que afirman ofrecer contenidos gratuitos, como música o películas gratis.

Estas brechas de seguridad permiten a los estafadores rastrear su comportamiento en el ordenador y robar credenciales personales. Esta información se puede utilizar para diversas actividades delictivas y las consecuencias pueden ser importantes.


¿Cómo protegerse contra ataques de malware con una VPN?

Si bien realizar copias de seguridad de sus datos periódicamente es el paso más eficaz e importante para proteger su dispositivo contra Malware y Ransomware, usar una VPN también puede aumentar la seguridad de su sistema.

Una VPN le permite acceder a la web de manera anónima, lo cual dificulta la tarea de rastrear su ordenador a los atacantes.

Muchas VPN de alto nivel proporcionan una advertencia de seguridad a los usuarios cuando intentan acceder a URL sospechosas.

Además, con una VPN, se cifran todos los datos que se comparten en línea, de manera que quedan fuera del alcance de los autores de malware.
¿Busca una VPN para proteger su ordenador contra amenazas cibernéticas? Eche un vistazo a nuestras VPN más recomendadas.
Leer Más

viernes, 18 de agosto de 2017

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño


EN ESTA SEXTA Y ÚLTIMA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” CONOCEREMOS ALGUNOS PERSONAJES MUY FAMOSOS DENTRO DEL ÁMBITO DE LA INGENIERÍA SOCIAL Y EXPLORAREMOS ALGUNOS DE SUS MÁS CONOCIDOS ENGAÑOS.

Introducción

Mucho antes que se popularice el término de Ingeniería Social, existieron varios “Artistas del Engaño” los cuales, quizás sin saberlo, aplicaban muchas de las técnicas que hemos visto a lo largo de esta serie, llegando a cometer delitos increíbles.

A continuación se detallan los más resonantes.

Victor “El Conde” Lustig

Nacido en República Checa en 1890, fue un experto del engaño y según comentan los que lo conocieron era muy agradable y culto (perfil ideal para un Ingeniero Social).

Lusting eligió a París para realizar una de sus grandes e increíbles estafas: “La venta de la Torre Eiffel”, sí aunque parezca mentira este experto del engaño logró “vender la Torre Eiffel” con éxito y no contento con esto, ¡casi la vendió dos veces!.

Todo sucedió en 1925 cuando Lusting vió en un diario un artículo que indicaba lo costoso que se le estaba haciendo a la ciudad de París el mantener la Torre Eiffel, por lo que pronto se estaría convirtiendo en una torre de chatarra. Así fue que se le ocurrió un plan descabellado: ¡Vender la Torre como chatarra!.

Su primer acción fue contratar a un falsificador para que elaborara papeles “oficiales” del gobierno, para luego invitar a 6 comerciantes de chatarra a una reunión de negocios “confidencial” en un hotel muy lujoso de la ciudad. Lustig se presentó como el subdirector general del Ministerio de Correos y Telégrafos, explicándoles a los empresarios que habían sido cuidadosamente seleccionados por ser un grupo de empresarios honestos (una típica acción utilizada en Ingeniería Social). Inmediatamente, vino “la gran propuesta”: les explicó que la ciudad estaba teniendo serios problemas en mantener la torre por lo cual tendrían que venderla como chatarra y pidió a los empresarios que mantuvieran en secreto este tema ya que sería un gran escándalo darlo a conocer públicamente, afirmando también que él era el encargado designado por el gobierno para seleccionar al comprador.

Luego para darle más veracidad a sus acciones (continúa la Ingeniería Social), Lusting contrató una Limusina y llevó a los empresarios a un recorrido de inspección en la Torre, indicando a los mismos que la licitación se realizaría al día siguiente. Sin perder tiempo aprovechó durante el viaje para estudiar y seleccionar a su víctima dentro de los 6 empresarios, siendo el elegido el distribuidor André Poisson, ya que lo había estudiado cuidadosamente y podría ser una presa fácil.

Poisson le comentó a su mujer y ella desconfió inmediatamente. Sabiendo lo sucedido, Lusting convocó a una nueva reunión donde “confesó” que un ministro de gobierno no ganaba lo suficiente como para mantener un estilo de vida bueno. Ésto le sirvió para hacer aún más confidencial el asunto y además recibir un “incentivo” por fuera del monto “oficial”. Así fue que Poisson realizó su oferta mas el soborno, Lusting dio por ganada la licitación a Poisson e inmediatamente escapó con una gran suma de dinero junto a su secretario (otro estafador) rumbo a Viena.

Aunque parezca increíble no pasó nada ya que Poisson estaba muy avergonzado de lo sucedido y no quería dar a conocer la estafa que le habían realizado. Más increíble es que a un mes de la estafa Lusting volvió a París y seleccionó 6 empresarios nuevos para cometer la misma estafa, pero esta vez no tuvo la misma suerte ya que la víctima elegida en este caso acudió a la Policía a realizar la denuncia. Así y todo Lusting pudo escapar y evitar el arresto.

Más información:
https://es.wikipedia.org/wiki/Victor_Lustig
 

Carlo Ponzi

Este Italiano nacido en 1882 que emigró a Estados Unidos en 1903 fue un famoso delincuente especializado en estafas. Dentro de las más famosas está la conocida hoy como "esquema Ponzi" (referenciada en varios libros de economía, similar al esquema piramidal). Básicamente se trataba de conseguir inversores a los cuales se les proponía un 50% de intereses dentro de los 45 días posteriores a su inversión y de un 100% al cabo de 90 días.

Aprovechándose de la avaricia, descuido y grandes cantidades de inversores que querían invertir en este “espectacular” negocio, Ponzi logró hacerse de millones. Si bien cumplía con lo prometido (“en principio”, ya que era cuestión de tiempo el no poder cumplir con todos), la confianza comenzó a terminarse cuando un analista financiero llamado Clarence Barron publicó un informe por encargo del Boston Post, en el cual aseguraba que Charles Ponzi no invertiría nada en su empresa y sería imposible poder cumplir con todos los inversionistas.

A partir de este hecho todo se torno un caos teniendo una multitud de inversionistas furiosos en sus oficinas. El 1 de noviembre de 1920, Carlo Ponzi fue declarado culpable de fraude y se lo condenó a cinco años de prisión, tres años más tarde salió en libertad y luego lo condenaron a nueve años más.

Luego de algunos intentos de huir, otros fraudes y hasta cambios de look para no ser reconocido, Charles Ponzi murió en un hospital de Río de Janeiro en la miseria total.

Más información:
https://es.wikipedia.org/wiki/Carlo_Ponzi

Frank Abagnale Jr


Nacido en 1948 en Bronxville, Estados Unidos, este “ex” estafador dirige hoy en día la empresa financiera Abagnale and Associates. Sus estafas y engaños fueron tan increíbles en la década del 60 que hasta el mismísimo Steven Spielberg dirigió una película basada en su vida (Atrápame si puedes).

Uno de sus primeros engaños tuvo como víctima a su propio padre, quien le había regalado un auto usado y al cual convenció que le prestara su tarjeta de crédito para comprar unos repuestos que necesitaba para arreglar algunos desperfectos en el mismo. Así fue como su padre accedió, Frank compro los repuestos (que no necesitaba) y luego se los vendió por un menor precio a un taller, haciéndose así rápidamente de efectivo.

Más tarde ya queriendo entrar en “las grandes ligas” comenzó a realizar estafas bancarias, tomó personalidades falsas y hasta incluso ejerció como abogado, piloto de Pan Am (viajando gratis por mucho tiempo) y médico. Ejerciendo ilegalmente esta última profesión tuvo un buen susto ya que un día puso en juego la vida de un bebé y fue ahí cuando decidió no “ejercer” más.

Fue perseguido un buen tiempo por el agente Joseph Shea del FBI del cual pudo escaparse muchas veces (en la película se puede apreciar claramente), pero finalmente el agente pudo capturarlo en Francia. Así y todo antes de cumplir 20 años Frank Abagnale Jr había cometido fraudes por un valor aproximado a 2,5 millones de dólares.

Si bien había cometido fraudes en muchos países, los cuales estaban ansiosos de tenerlo tras las rejas Abagnale estuvo preso en Francia, Suecia y por último, cerca de 5 años en Estados Unidos. El mismo poseía un gran número de cargos como: suplantación de identidad, fraude, falsificación documental, ejercicio ilegal de profesiones robo de bancos, etc.

Tal como reza con el viejo dicho: “Si No puedes contra tu enemigo únete a él”. El gobierno norteamericano le ofreció reducir su condena y salir antes de prisión siempre y cuando los ayudara contra la lucha del fraude (¡que mejor que este experto en fraudes para ello!).

Hoy en día es millonario, escribió varios libros y fue quien diseñó muchos de los cheques antirrobo que se usan actualmente en todo el mundo.

Más información:
https://es.wikipedia.org/wiki/Frank_Abagnale_Jr.

Kevin Mitnick

Nacido en Los Ángeles – Estados Unidos, en 1963 fue quien impulsó e hizo conocido el concepto de Ingeniería Social dentro del mundo IT. Su historia comienza desde muy chico. Ya a los 16 años de edad rompió la seguridad en el sistema administrativo de su colegio, pero no para modificar sus notas sino solo para curiosear y divertirse.

Su primer infracción a la Ley fue en 1981, al entrar físicamente en las oficinas de la empresa COSMOS (Computer System for Mainframe Operations) perteneciente a Pacific Bell. Allí junto a dos amigos robaron información muy valiosa de la empresa valuada en 200.000 Dólares. Inmediatamente fueron delatados por la novia de uno de los amigos y tiempo después sentenciados a 3 meses de prisión y 1 año de libertad condicional, la cual cumplieron en tiempo y forma pero al tener ese espíritu inquieto Kevin siguió haciendo de las suyas. Hasta incluso con el oficial asignado como custodia, quien se dio cuenta que su teléfono había sido dado de baja y que la compañía telefónica no tenía ningún registro de lo sucedido.

A medida que pasaba el tiempo sus objetivos iban creciendo, y fue así que entró ilegalmente a computadoras del comando de defensa Aéreo de Norteamérica, ARPAnet (predecesora de internet), Microcorp Systems y hasta intentó ingresar a la red del Pentágono.

No todo en su vida fue la ilegalidad, un día intentó conseguir trabajo en el Security Pacific Bank como encargado de la seguridad del banco (quien mejor que él), pero el banco al ver sus antecedentes rechazó su solicitud de inmediato. Mitnick no contento con esto procedió a falsificar un balance del banco mostrando pérdidas por 400 millones e intentó hacerlo público.

Una de las acciones que lo lanzó a la fama fue el tener acceso secreto durante varios meses al correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation. Ésto lo realizó para conocer cómo estaban protegidos sus equipos y sus sistemas telefónicos. Luego de una ardua recolección de información Mitnick pudo hacerse de 16 códigos de seguridad de MCI, para luego intentar entrar junto a un amigo a la red del laboratorio de investigaciones de Digital Corporation conocida como Easynet. Su objetivo final era el poder hacerse de un nuevo prototipo del sistema operativo de seguridad de Digital llamado VMS. Personal del laboratorio advirtieron del ataque al FBI e inmediatamente comenzó su rastreo. Mitnick fue arrestado en 1988 por invadir y causar daños por 4 millones de dólares a la empresa, siendo culpable por los cargos de fraude y posesión ilegal de códigos de acceso de larga distancia.

Fue tal la fama que ganó Mitnick que adicionalmente a la sentencia el fiscal solicitó una orden a la corte para que le prohibiera acceder a cualquier teléfono, ya que con el sólo hecho de hacerlo podría causar daños inimaginables.

Mitnick consiguió de alguna manera que su abogado también usara Ingeniería Social, ya que la táctica que presentó para reducir su condena fue alegar que su defendido sufría de adicción a las computadoras, similar a cualquier otra adicción como a las drogas por ejemplo. Así fue que la condena se redujo notablemente solo a un año de prisión y luego 6 meses de tratamiento para poder tratar su “adicción”, durante el cual tenía prohibido acercarse a una computadora.

Ya para 1991 Mitnick había adquirido una gran fama y hasta llegó a ocupar las primeras planas en diarios muy importantes como el New York Times. En 1992 luego de terminar su tratamiento comenzó a trabajar en una agencia de detectives, pero no duró mucho tiempo hasta que hiciera de las suyas nuevamente y violará los términos de su libertad condicional al descubrirse el uso ilegal con bases de datos. Fue así que allanaron su casa pero para ese entonces Mitnick se había ido y desde allí fue cuando comenzó su vida como prófugo.

Ese mismo año se dió a conocer una recompensa por su captura en la cual se pagaría un millón de dólares por parte del Departamento de Vehículos de California, ya que se lo acusaba de haber tratado de obtener una licencia de conducir de manera fraudulenta, utilizando para ello un código de acceso y el envío de un fax.

Ya con su “nueva vida” como prófugo Mitnick busco la mejor forma de poder seguir haciendo de las suyas sin ser rastreado y fue allí que se le ocurrió comenzar a utilizar teléfonos móviles para poder moverse de un lugar a otro sin tener que permanecer estático por un determinado tiempo al utilizar como hasta ese momento teléfonos fijos. Para poder hacer esto necesitaba tener acceso a sistemas similares a los que hasta ese momento había utilizado, pero esta vez en teléfonos móviles.

Fue así que después de muchos intentos dió con la computadora de Tsutomu Shimomura, en la cual ingresó a fines del año 1994 y robó gran parte del software que él mismo poseía. Shimomura era un físico computacional y experto en sistemas de seguridad del San Diego Supercomputer Center, como se puede apreciar no era una víctima “fácil” como las anteriores, tal es así que aquí comenzaba el principio del fin.

Tiempo después de la intrusión Shimomura se dió cuenta que alguien había ingresado en su computadora utilizando para ello técnicas muy complejas que él desconocía. Fue así que se propuso atrapar a quien había osado entrar en su computadora, prevaleciendo el orgullo ante todo.

Para fines de Enero de 1995 el software de Shimomura fue hallado en una cuenta de un proveedor de internet en California. Al parecer el objetivo era lanzar ataques a varias empresas, entre ellas Motorola, Apple y Qualcomm.

Shimomura se reunió con la empresa proveedora de internet y con un técnico de la compañía de telefonía celular, pudiendo llegar a la conclusión de que Mitnick había creado un número de móvil falso para acceder al sistema. Luego de un par de semanas pudieron comprobar que las llamadas provenían de Raleigh, California. Shimomura se comunicó inmediatamente con el FBI y estos comenzaron un rastreo sofisticado para poder dar con el celular de Mitnick.

Tal como pasa en las películas, montaron los dispositivos de rastreos en una furgoneta y comenzaron con el operativo para poder dar con el paradero de Mitnick a través del rastreo de su celular. Días después logran dar con su paradero y el 15 de Febrero se acercaron sigilosamente hasta la entrada del departamento, anunciaron su presencia e ingresaron rápidamente, decomisando todo el material que este poseía (discos, teléfonos, computadoras, etc).

Algo muy curioso que sucedió luego del arresto fueron varios mensajes de voz que recibió Shimomura en su contestador, los mismos fueron efectuados por Mitnick 8 horas después de su arresto, en los cuales podía apreciarse un tono de burla con acento oriental.

Hoy en día Kevin Mitnick es uno de los Hackers más reconocidos en el mundo entero, pasa gran parte de su tiempo dando conferencias por distintos países y cuenta con su propia empresa de seguridad llamada: Mitnick Security, en la cual pone énfasis en la concientización como base para protegerse de ataques informáticos.

Más información:
https://es.wikipedia.org/wiki/Kevin_Mitnick

Sobre esta serie

Este ha sido el último post de la serie "El arte de engañar al usuario".

Esperamos que haya disfrutado de la misma y que haya servido tanto para ampliar sus conocimientos en cuanto a la Ingeniería Social como así también para tomar consciencia acerca de los riesgos que ésta implica, tanto en el ámbito personal como organizacional.
Leer Más

viernes, 11 de agosto de 2017

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección



EN ESTA QUINTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LAS MEDIDAS DE PROTECCIÓN QUE PUEDEN TOMAR LAS ORGANIZACIONES PARA COMBATIR LA AMENAZA DE LA INGENIERÍA SOCIAL.

Cómo protegernos

Como ya se mencionó en este artículo, la mejor manera de encarar una estrategia de seguridad es hacerlo a través de diferentes capas de protección, ya que no existe una única solución que mágicamente mitigue todos los riesgos de seguridad de la información.

Debido a que la Ingeniería Social apunta directamente al factor humano, la medida más efectiva para protegerse de estos ataques será definir, implementar y mantener una capa de seguridad orientada a las personas dentro de nuestra organización.

¿Con esta capa de seguridad estamos cubiertos?

La seguridad al 100% no existe. Es imposible disminuir todos los riesgos de seguridad a cero, y menos aún hacerlo con una única capa de seguridad. Dicho esto, Incluir a los usuarios en la estrategia de seguridad de nuestra organización significa desarrollar una capa muy importante de seguridad, que, dependiendo de algunos factores, será más o menos efectiva. Estos factores son:

  • El compromiso de la alta gerencia para implementar y mantener esta capa
  • Los recursos con los que contemos para hacerlo (principalmente el presupuesto)
  • La efectividad de los controles que llevemos a cabo

Cuanto mayores sean dichos ítems, más podremos disminuir el riesgo de un ataque de Ingeniería Social y, por lo tanto, mayor será nuestro nivel de seguridad. No alcanzaremos el 100% de seguridad, pero podremos estar tan cerca como los mencionados factores nos lo permitan.
 

Hardening de Usuarios

Para definir, implementar y mantener nuestra capa de seguridad orientada a las personas, deberemos tener en cuenta los siguientes aspectos:

Por un lado, necesitaremos llevar adelante un plan de Capacitación y Concientización en Seguridad de la Información, orientado al cambio de comportamiento y con contenidos originales y atractivos para los usuarios.

Por el otro, tendremos que incluir evaluaciones capaces de medir el cambio de comportamiento de nuestros usuarios. La manera de lograr esto es mediante simulaciones de trampas de Ingeniería Social, que pongan a prueba no sólo los conocimientos de cada usuario, sino también sus hábitos, que son lo que realmente cuenta.

De esta manera, podremos saber si nuestras acciones van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc. Además, contaremos con las métricas necesarias para poder realizar reportes ejecutivos a la alta gerencia, justificar nuestra inversión, ayudar al cumplimiento de normativas, entre otras cosas.

Además, todas estas acciones deberían ser parte de un proceso de mejora continua, siempre actualizado, y aplicado a todos los usuarios de nuestra organización.

Nota: Si estás pensando que desarrollar esta capa de seguridad es un trabajo grande, estás en lo cierto. La buena noticia, es que existen herramientas que pueden ayudarte a hacerlo con el mínimo esfuerzo y los mejores resultados.

Los controles tecnológicos

Muchas veces, con el objetivo de combatir la Ingeniería Social, las organizaciones implementan controles tecnológicos como Antivirus, Anti-Spam, DLP, etc. Poseer dichos controles puede ser una buena idea (siempre según las necesidades de cada organización) pero confiar 100% en ellos para detener un ataque de Ingeniería Social no lo es.

Los Ingenieros Sociales demuestran diariamente (y esto puede verse ingresando a cualquier portal de noticias sobre seguridad informática) cómo saltan virtualmente cualquier barrera de seguridad tecnológica con sus engaños. Por eso, volvemos a la seguridad en capas. Conservemos los controles tecnológicos, pero no olvidemos definir, implementar y mantener nuestra capa de seguridad orientada a nuestros usuarios.

Conclusiones

Los Ingenieros Sociales están continuamente actualizando sus técnicas para mantener la efectividad de sus ataques. El juego nunca termina, y cada vez que se desarrolla una solución tecnológica contra un Ingeniero Social, éste encuentra la manera de sortearla.

Es por eso que la mejor decisión en este caso es enfocar nuestros recursos hacia las personas y llevar adelante un proceso de Hardening de todos nuestros usuarios. Y no sólo lograremos disminuir el riesgo de que nuestros usuarios sean manipulados por un Ingeniero Social, sino que un Plan de Concientización bien implementado tendrá muchas ventajas extras, como la mejora de la imagen del área de seguridad en toda la organización, el cumplimiento de normativas internas y externas, apoyo legal contra litigios, mejora de la autoestima de nuestros usuarios, y un largo etcétera.

Sobre esta serie

Este es el quinto y penúltimo de una serie de posts sobre la Ingeniería Social. Sólo resta el último post, el cual estará dedicado a reconocidos personajes de la Ingeniería Social, para conocer algunos datos curiosos y anécdotas sobre ellos.
Leer Más