lunes, 15 de enero de 2018

Qué hacer si alguien secuestra nuestras cuentas online

Qué hacer si alguien secuestra nuestras cuentas online


Introducción

En varias ocasiones me han hecho la pregunta que da título a este artículo y es por ello que me he puesto a escribir sobre el tema. El objetivo es dar pautas generales respecto a qué hacer cuando alguien toma posesión de las credenciales de nuestra cuenta (ya sea de correo, homebanking, redes sociales, o cualquier otra).

Pasos a seguir

Estos son los pasos que, a mi criterio, hay que seguir si descubrimos que una de nuestras cuentas fue vulnerada:
 

Paso 1. Dar aviso inmediato a quien corresponda

Este tip es el más importante, y cobra mayor relevancia cuando se trata de cuentas de Homebanking o sitios que posean nuestra información financiera.

Es importante notificar de manera urgente a la entidad correspondiente de manera presencial o por teléfono. Cada entidad tendrá procedimientos predefinidos para este tipo de casos y nos guiará de la mejor manera para solucionar nuestro problema.

Si no es posible una comunicación directa, como suele suceder en el caso de servicios masivos como Facebook o Twitter, debemos seguir los pasos que detallan en sus sitios oficiales para dar aviso de nuestra situación. A continuación, un ejemplo de la ayuda que brindan algunos servicios populares:
Hecho esto, podemos continuar con algunos pasos extra por nuestra propia cuenta:

Paso 2. Iniciar sesión en la cuenta del servicio afectado

Debemos intentar iniciar sesión tan pronto como nos enteremos o sospechemos que nuestra cuenta está en manos de otra persona, considerando estos 2 casos:
  • Si ya no se puede acceder a la cuenta, restablecer la contraseña por email u otro canal disponible (SMS, llamada telefónica).
  • Si esto no es posible, deberemos ponernos en contacto con los administradores del sitio para informar la situación y recuperar nuestro acceso.
Una vez que podamos tener acceso a nuestra cuenta, podemos continuar con:

Paso 3. Cambiar la contraseña inmediatamente

Como nuestra contraseña es conocida por otra persona, debemos cambiarla por una nueva. Si nuestra contraseña anterior era utilizada en más de una cuenta, deberemos cambiarla en todas las cuentas en la que la utilizábamos. Es por esto que hay que evitar el uso de una única contraseña para múltiples cuentas.

El siguiente gráfico muestra un caso poco feliz, aunque real, sobre cómo se podrían interconectar las cuentas de nuestros servicios con una cuenta de email:




¿Usarías la misma llave para tu casa, tu negocio y tu auto? Fuente

Paso 4. Activar el doble factor de autenticación

Se recomienda activar esta opción siempre que sea posible, ya que de esta manera una persona que se haga con nuestras claves de acceso no podrá iniciar sesión en nuestras cuentas, ya que necesitará de un segundo factor que no tendrá.

Los procedimientos de los servicios más populares para activar el doble factor son:
Para encontrar una lista extendida recomiendo visitar TwoFactorAuth.

Paso 5. Revisar la cuenta

Es importante ingresar a la cuenta afectada para encontrar actividades sospechosas o cambios de configuración. Para asegurarse que todo esté en orden, hay que revisar:
  • Última actividad, para ver si hay algo nuevo que nosotros no realizamos, como una transferencia en caso de una cuenta bancaria, o un post en caso de una red social.
  • Cuentas vinculadas, para ver si se agregó una nueva cuenta que no nos pertenece.
  • Preguntas de seguridad, para comprobar que no han sido modificadas.

Esto es necesario ya que una persona que tome posesión de nuestra cuenta intentará dejar abierta una “puerta trasera” para volver ingresar a la misma cuando lo desee. 

Paso 6. Mantener la atención a correos recibidos a posteriori del incidente

Es probable que luego del incidente recibamos correos falsos o estafas que podrían incluir amenazas con publicar información de nuestra cuenta, avisos de movimientos en nuestra cuenta bancaria, notificaciones de compras con nuestra tarjeta de crédito, o similares. En consecuencia, debemos estar atentos para no caer en la trampa.

Para interiorizarse en el tema, se puede leer esta serie de posts sobre Ingeniería Social, el arte de engañar a los usuarios.

Conclusión

Cualquier persona o empresa puede ser víctima de este tipo de incidentes. Si bien siempre debemos tomar medidas para prevenir el robo de nuestras claves de acceso, no está de más conocer la manera correcta en la que debemos actuar para reaccionar de la mejor manera en caso de que nos suceda.
Leer Más

jueves, 11 de enero de 2018

Cuando el recurso más valioso de la organización se transforma en amenaza

Cuando el recurso más valioso de la organización se transforma en amenaza


¿Qué es un delito informático y quiénes lo cometen?

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” [1]. La informática puede ser el medio o el fin de esos actos delictivos llevados a cabo por individuos malintencionados [2]. Por ejemplo, en la informática como medio un ciber delincuente utilizaría un ordenador para acceder sin permiso a un sistema y robar información para después venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la informática es un fin sin importar el medio utilizado para lograrlo.

¿Dónde está el foco de la seguridad en las organizaciones y qué se descuida?

Cuando se habla de delitos informáticos lo más habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro que residen fuera de la organización. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos. 

Estadísticas de delitos informáticos y fugas de datos en relación con los empleados

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversación de fondos o ataques de venganza tras haber sido despedidos. Según un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el 34% de la información de las organizaciones se ve comprometida intencionalmente por el personal interno [3]. Otro artículo publicado por Heimdal Security en 2016 indica que el 59% de los empleados roba información de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo está en los usuarios con accesos privilegiados [4]. Esta información robada es la que posteriormente sería utilizada para cometer diversos tipos de delitos.

¿Para qué se utiliza comúnmente la información robada por los empleados?

La 10ma Edición del “2017 Data Breach Investigations Report“ de Verizon alerta que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye: proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje [5].

¿Cómo suelen los empleados hacerse con la información?

La fuente mencionada anteriormente también indica que los empleados logran acceder a la información que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

¿Qué motiva a un empleado a robar información?

Según el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la información de la empresa al resultar tentado con la ganancia financiera

¿Por qué el empleado se anima a delinquir?

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).

¿Cómo prevenir estos delitos y cómo reducir las consecuencias en caso de que ocurran?

La implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos informáticos por parte de los mismos. Además, las políticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consuma algún tipo de delito.

La correcta implementación de políticas y gestión de contraseñas y controles de acceso son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusión

A la hora de llevar adelante la gestión de seguridad de la información la organización debería considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una riesgosa exposición. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas - y lo sabe - y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Fuentes

Leer Más

jueves, 21 de diciembre de 2017

365 oportunidades para fortalecer nuestra capa de seguridad orientada al usuario

365 oportunidades para fortalecer nuestra capa de seguridad orientada al usuario



¡El año 2017 ha sido un año lleno de oportunidades! Hoy podemos decir con alegría que no nos alcanza un post para resumir todo lo que sucedió en este año tan especial, pero podemos enlazar algunos momentos destacados para dar una idea general de los momentos vividos:

Todo esto, sin contar el momento más esperado del año: ¡Ser elegidos por INCIBE para formar parte de su programa de aceleración de empresas CYBER SECURITY VENTURES!


Ciudad de León, donde transcurre el programa de aceleración CYBER SECURITY VENTURES

Agradecimientos

Todo esto ha sido posible gracias al esfuerzo de nuestro equipo de trabajo y a todas las personas que, desinteresadamente, dedicaron un momento de su día a brindarnos su apoyo, críticas constructivas, consejos y palabras de aliento.

Agradecemos sinceramente el tiempo brindado y la buena predisposición de cada uno, que hizo posible que SMARTFENSE crezca un poco más.


Parte del equipo de SMARTFENSE que reside en la ciudad de San Francisco, en Argentina

Nuevas oportunidades

Se aproxima un nuevo año y junto con él llegan 365 días que pueden ser aprovechados para fortalecer un poco más al factor más importante de la seguridad de la información.

Siguiendo nuestros consejos, este 2018 podrá programarse para convertirse en un programa de capacitación y concientización que genere hábitos seguros en los usuarios de su organización. 
¡Aprovechemos este nuevo año y no permitamos más que los ciberdelincuentes engañen a nuestros usuarios!

Leer Más

viernes, 15 de diciembre de 2017

Respetar la privacidad, proteger nuestros datos y promover la confianza [Póster Oficial]

Respetar la privacidad, proteger nuestros datos y promover la confianza [Póster Oficial]


“Respetar la privacidad, proteger nuestros datos y promover la confianza” es el lema del día de la privacidad de datos promovido por STOP THINK CONNECT, en un esfuerzo internacional realizado anualmente el 28 de enero para crear conciencia sobre la importancia de respetar la privacidad en el mundo moderno.

Nuestro compromiso con nuestros clientes

SMARTFENSE reconoce y apoya el principio de que todas las organizaciones comparten la responsabilidad de ser administradores conscientes de la información personal de sus clientes, y es por eso que formamos parte de esta iniciativa como Campeones del Data Privacy Day.

La importancia de la privacidad para SMARTFENSE se ve reflejada en el registro de nuestras bases de datos en la Dirección Nacional de Protección de Datos Personales a nombre legal de la empresa: DIGITAL CONTENT MACHINE S.A.

Las bases de datos registradas son:
  • "Base de datos administrativa" (trámite N° 416814 - Formulario FA.01 33.313)
  • "Datos de usuarios de la plataforma" (trámite N° 416816 - Formulario FB.01 Nº 1578)

Nuestra misión con los usuarios

Por supuesto nuestras acciones no terminan aquí ya que la esencia de SMARTFENSE es la capacitación y concientización de usuarios finales, por lo cual, durante el mes de enero de 2018 aprovecharemos esta iniciativa global para generar nuevo material que promueva la conciencia sobre la privacidad en usuarios finales.

Mientras tanto, dejamos a su disposición de manera totalmente gratuita nuestra traducción del póster oficial del Data Privacy Day, pensado para imprimir y colocar en oficinas o lugares de tránsito de su organización.

A su vez, enlazamos dos interesantes artículos de nuestro blog sobre privacidad que pueden resultar de su interés:

Conclusión

La privacidad cobra mayor importancia cada día a medida que la tecnología, implacable, va conectando cada vez más nuestras vidas a Internet.

Es por esto que los esfuerzos por concientizar a las personas acerca del cuidado de sus datos privados son cada vez más importantes, y qué mejor oportunidad que una iniciativa mundial sobre esta temática para promover un uso de Internet más seguro.

¡Respetemos la privacidad, protejamos nuestros datos y promovamos la confianza!
Leer Más

sábado, 9 de diciembre de 2017

Tips para comprar seguros en Internet

Tips para comprar seguros en Internet


Realizar compras en línea puede llegar a ser una experiencia realmente enriquecedora… Desde la comodidad de nuestras casas podemos comparar los precios de diferentes productos en diferentes tiendas y llevar a cabo un proceso de compra completo en sencillos pasos. Las compras en línea están en pleno auge. Cada vez son más las empresas que venden sus productos en Internet, y más las personas que los adquieren.

De la misma manera, una compra en línea puede convertirse en una pesadilla y alejarnos por siempre de este avance tecnológico tan útil. Esto es así ya que, como es habitual, existen personas malintencionadas que buscan aprovecharse de los avances tecnológicos y de la inocencia de las personas para obtener dinero de manera ilegal: Los ciberdelincuentes.

¿Has escuchado alguna vez a alguien decir que realizó una compra en Internet, y nunca recibió el producto que solicitó? ¿O a alguien que no pudo finalizar el proceso de compra, pero aún así se debitaron diferentes montos en su cuenta bancaria? ¿Alguien que recibió una caja vacía en lugar del producto comprado?

Todo esto, y más, sucede porque los ciberdelincuentes, a través de engaños, dirigen a las personas a tiendas falsas, que pueden ser iguales, o no, a una tienda real y de confianza. En éstas, ellos tienen el poder, y su principal objetivo es que dejemos en sus manos nuestra información financiera para luego poder robar nuestro dinero

La buena noticia frente a este problema, es que la solución somos nosotros, los usuarios de Internet. Basta con que conozcamos de qué manera los delincuentes intentan engañarnos, para así poder prevenir que esto nos suceda. Los tips a tener en cuenta son pocos, pero nos permitirán disfrutar tranquilos de las compras en línea.

Tip #1: Comprar en tiendas de confianza

El principal consejo a la hora de realizar una compra en línea, es elegir una tienda conocida, con una buena reputación y de amplia trayectoria para hacerlo.

Siempre es bueno preguntar a familiares y amigos su experiencia con determinadas tiendas y buscar opiniones de cada una en Internet. Con estas últimas, de todas formas, hay que tener especial cuidado, ya que muchas veces los mismos ciberdelincuentes que crean tiendas falsas en Internet, ¡crean también comentarios falsos hablando bien de sus tiendas!

Tip #2: Verificar con cuidado la dirección

Si seguimos el Tip #1 a rajatabla, casi podríamos decir que estamos en condiciones de realizar compras seguros. De todas formas, aún debemos tener un poco más de cuidado. 

Cuando ingresamos a una tienda, lo más recomendable sería que escribamos nosotros mismos su URL o dirección en la barra de direcciones de nuestro navegador, teniendo especial cuidado en no cometer ningún error.
Esto es así ya que los ciberdelincuentes suelen crear “clones” de tiendas reales y muy conocidas y alojarlas en direcciones web similares a la original. Por ejemplo, es posible que un ciberdelincuente cree una tienda idéntica a Amazon en la URL “www.amazin.com”, a la cual se puede llegar mediante un simple error de tipeo.

Tip #3: Evitar hacer clic en enlaces

Si podemos cometer un error al escribir la dirección de una tienda ¿Por qué no hacer simplemente clic en enlaces que lleven a ella? Debemos tener gran cuidado antes de hacer esto ya que un enlace, si no lo verificamos con atención, puede dirigirnos a tiendas falsas, muchas veces idénticas a las originales y con URLs casi iguales (como por ejemplo “www.arnazon.com”) donde nuevamente, intentarán robar nuestro dinero.

Es muy común por ejemplo recibir ofertas por correo electrónico, mensajería instantánea o redes sociales, o bien encontrarlas mientras navegamos por diferentes sitios web. Si una promoción nos interesa, lo mejor que podemos hacer es ingresar directamente (Tip #2) al sitio de la empresa que la ofrece, para verificar que dicha oferta sea cierta.

Debemos hacer esto ya que muchas publicidades y ofertas son falsas, y al hacerles clic, nos dirigen a tiendas falsas.

Tip #4: Utilizar conexiones a Internet confiables

Una vez que estamos seguros que estamos en la tienda de confianza, habiendo verificado con cuidado su URL, debemos utilizar una conexión de Internet privada y de un lugar de confianza para realizar nuestras compras, o bien utilizar nuestra conexión de datos de celular.

Bajo ninguna circunstancia debemos hacerlo en una conexión pública como la de un bar o shopping, ya que nuestra información privada - como ser los datos de nuestra tarjeta de crédito - podría verse comprometida por un delincuente.

Conclusión

Realizar compras seguras en Internet es posible, y sólo depende del conocimiento que nosotros, los usuarios, tengamos acerca de los engaños a los que podemos enfrentarnos.

Siguiendo estos simples tips, podremos disfrutar de este avance tecnológico con tranquilidad y evitar que un delincuente convierta nuestra compra en una pesadilla.
Leer Más