lunes, 18 de septiembre de 2017

Monitoreo + Concientización = Expectativa de Privacidad

Monitoreo + Concientización = Expectativa de Privacidad


Para comenzar con este post, me parece apropiado tomar una definición muy interesante y clara del libro CISSP All-in-One Exam Guide:

El concepto de privacidad es diferente al de seguridad. Privacidad es la habilidad de un individuo o grupo de controlar quién tiene cierto tipo de información sobre ellos. Es un derecho individual que permite determinar qué datos tendrá otra persona sobre uno mismo, quién tendrá permitido conocer esos datos y cuándo esas personas pueden accederlos. La seguridad se utiliza para hacer cumplir estos derechos de privacidad.
La privacidad es un tema realmente amplio y un sólo post no alcanzaría nunca para poder abarcarlo por completo. Es por eso que el presente se acotará sólo a la privacidad puertas adentro de las organizaciones, en específico a aquella que cada empleado espera tener respecto al monitoreo de sus actividades dentro de la organización y a la importancia que tiene esta expectativa en el marco legal.
 

El monitoreo de usuarios

Uno de los principales problemas que aqueja a las organizaciones en cuanto a la privacidad de sus empleados tiene que ver con el monitoreo de los mismos. Éste sucede por ejemplo cuando se realizan escuchas en llamadas telefónicas, se graban videos de seguridad o se guarda un registro del historial de navegación de los empleados.

El objetivo de una organización al llevar adelante este tipo de acciones pueden tener que ver con aumentar el rendimiento de los empleados, mejorar la satisfacción de los clientes, disuadir a los empleados de realizar acciones que están prohibidas, etc.

Antes de comenzar a monitorear la actividad de sus empleados, una organización deberá investigar exactamente qué puede y no monitorear antes de hacerlo según las leyes de privacidad que rijan en su país.

Por otro lado, debe aclararse que el monitoreo debe estar siempre relacionado al trabajo. Si un gerente tiene el derecho de escuchar las conversaciones de sus subordinados con sus proveedores, no significa que tenga también el derecho de escuchar conversaciones personales que no están relacionadas con el trabajo. El monitoreo a su vez debe ser realizado en forma consistente, de manera que todos los empleados estén sujetos al mismo monitoreo, no sólo una o dos personas.

La expectativa de privacidad

Quizá pueda parecer que con lo presentado hasta el momento cualquier organización puede comenzar sin problemas sus procesos de monitoreo. En realidad, podrán comenzar a hacerlo (muchas lo hacen), pero no sin problemas.

Falta tener en cuenta al actor principal de esta historia: la persona que va a ser monitoreada.

En pocas palabras, la organización debe concientizar a sus empleados para que sepan qué tipo de monitoreo puede ocurrir durante su trabajo. Esta es la mejor manera para una organización de protegerse legalmente, si es necesario, y evitar a su vez dar sorpresas a sus empleados.

Si una organización cree que es necesario monitorear los correos de sus empleados, esto debe ser explicado a los mismos, primero, a través de una política de seguridad, y luego a través de un recordatorio constante, como por ejemplo un newsletter o entrenamiento regular.

De la misma manera, cada persona no sólo debe saber a qué tipo de monitoreo puede estar sujeta, sino que también debe conocer exactamente cuáles son considerados comportamientos aceptables y cuáles son las consecuencias de no cumpir dichos comportamientos. Esto, además de ayudar legalmente a la organización puede disminuir los niveles de estrés, desconfianza e insatisfacción que el monitoreo puede causar a los empleados.

Por último, la organización deberá poseer un registro que respalde las acciones de concientización que ha realizado concernientes a este tema, que pueda ser tratado como un documento legalmente admisible. Este tipo de registro o documento que avale dicha concientización se conoce como renuncia a la expectativa razonable de privacidad, o (REP por sus siglas en inglés: reasonable expectation of privacy)

Si esto no sucede, cuando el monitoreo tome lugar, los empleados podrán reclamar que sus derechos de privacidad han sido violados y lanzar una demanda civil contra la organización.
 

Conclusión

En este artículo pudimos ver cómo la concientización y el entrenamiento van más allá de la creación de hábitos seguros para los usuarios, sirviendo en este caso como un instrumento indispensable a la hora de tratar con la expectativa de privacidad de cada una de las personas dentro de una organización.
Leer Más

martes, 5 de septiembre de 2017

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

El pasado 31 de agosto y 1 de septiembre, tuvo lugar el VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes, del cual SMARTFENSE fue Sponsor exclusivo.

pieza3agosto.png

Acerca del evento

El objetivo del evento ha sido brindar una actualización sobre los temas que se enumeran a continuación, de la mano de reconocidos especialistas del rubro:
  • Análisis de los casos de Ransomware. Estrategias a implementar
  • Plan de Continuidad del Negocio como acción mitigante del riesgo
  • Políticas de seguridad implementadas en Cloud Computing
  • Evolución del Phishing como Amenaza Persistente Avanzada
  • Cómo comunicar a otras áreas de la organización para prevenir los ciberdelitos
  • Mecanismos de protección ante grandes volúmenes de datos
  • Blockchain: cómo resguarda y cuáles son los potenciales casos de uso
  • Firma Digital: Beneficios e implementación.
  • Cómo gestionar los distintos eventos y proteger la información de una manera efectiva

WhatsApp Image 2017-08-31 at 23.41.51.jpeg

Usuarios: el tema principal

En su mayor parte, el evento giró en torno a la importancia del usuario para la seguridad de la información de las organizaciones.

Por un lado, se dejó claro que el mayor porcentaje de incidentes de seguridad de la información tienen como puerta de entrada al usuario. Uno de los datos más impactantes fue que el 91% de los problemas de seguridad comienzan con un ataque de Phishing, y tanto éste como el Malware se encuentran en los primeros puestos de las principales preocupaciones de las organizaciones en materia de seguridad.

Por otro lado, se remarcó, en base a lo mencionado en el párrafo anterior, la importancia de incluir al usuario en la estrategia de seguridad de la organización como una nueva e importante capa de seguridad para la misma.

De hecho, la Concientización fue nombrada por la audiencia como la primera medida a tomar en el caso de encarar la seguridad de la información dentro de una organización, lo cual da cuenta de que los responsables de seguridad poco a poco van tomando consciencia de la problemática que enfrentan al tener usuarios con hábitos inseguros, realidad que ya ha sido asumida en países del primer mundo hace tiempo.

DSC_0476.JPG

Entrega de premios

Además de apoyar económicamente el evento, desde SMARTFENSE hemos ayudado en la difusión del mismo, tanto previamente como en el transcurso del mismo, a la vez que entregamos material sobre nuestra plataforma, contribuimos en la evangelización acerca de la importancia del usuario final, y realizamos un pequeño desafío en el segundo día del evento, cuyos ganadores fueron premiados.


Leer Más

martes, 22 de agosto de 2017

Malware y Ransomware: ¿Cuál es la diferencia?

Malware y Ransomware: ¿Cuál es la diferencia?


Traducción del artículo original de VPN Mentor, que llega a nuestro blog en el marco de colaboración del proyecto NoMoreRansom!

El Ransomware es un nuevo tipo de Malware que ha puesto en práctica rápidamente sus capacidades y peligros, tras 638 millones de ataques ransomware en 2016, lo que equivale a más de 167 veces el número de ataques en 2015. 
Luego de que varias organizaciones y usuarios domésticos hayan sido víctimas de varios ataques cibernéticos, existe cierta confusión entre los términos de Malware y Ransomware.


¿Qué es un Malware?

El Malware es un término que designa al "software malicioso". Está especialmente diseñado para obtener acceso al ordenador del usuario. Puede rastrear los sitios que el usuario visita y provocar acciones que éste puede ignorar por completo. El Malware suele tomar forma de keyloggers, virus, gusanos o spyware y se puede utilizar para robar información confidencial o difundir correo no deseado por correo electrónico. Sin embargo, hoy en día, estos softwares engañosos por lo general se utilizan para generar una pila de ingresos a través de publicidad integrada.

Recientemente, un Malware, difundido por un comerciante digital chino que trabajaba para Rafotech, convirtió más de 250 millones de navegadores web en todo el mundo en motores de generación de ingresos por publicidad. Casi el 20 % de las redes corporativas se vieron afectadas por este Malware. Posteriormente, se descubrió que la mayor parte de la propagación del mismo se debió a la agrupación. El malware se instaló sin el permiso del usuario junto con algunos programas deseados como Deal Wifi, Mustang Browser, Soso Desktop y FVP Imageviewer.

Apenas una semana antes de este suceso, un Malware conocido como Judy infectó 36,5 millones de dispositivos Android. Este Malware se encontró en 41 aplicaciones, todas ellas desarrolladas por una empresa coreana, Kiniwini, que recurría a la misma estrategia de producir clics falsos en anuncios para generar ingresos a través de medios engañosos. La mayoría de las aplicaciones dañinas se encontraban en la tienda oficial de Google Play, lo cual suscita serias dudas sobre la seguridad de Android.

Además, hace poco, se detectó un Malware descontrolado conocido como Crash Override que provocó un corte de energía en la capital de Ucrania, Kiev. Es el primero que ha atacado una red eléctrica, lo que nos da una pista de las desastrosas consecuencias que podrían tener los programas maliciosos.


¿Qué es un Ransomware?

Un Ransomware es básicamente un tipo de malware que bloquea el ordenador y prohíbe acceder al mismo hasta que se pague un rescate exigido, que suele solicitarse en forma de Bitcoins. Hoy en día, en lugar de bloquear el teclado o el ordenador del usuario, se cifra cada archivo con una clave privada que sólo conocen los autores del Ransomware. Sin embargo, no se garantiza que al pagar el rescate se desbloquee el ordenador.

En mayo de 2017, un ataque cibernético a gran escala generado por el Ransomware Wannacry infectó más de 300000 ordenadores en 150 países. Sólo equipos con sistema operativo Windows se vieron afectados.

Otro Ransomware, conocido como Petya, ha interrumpido el funcionamiento de varias empresas de Europa, Oriente Medio y Estados Unidos.

Recientemente, se ha descubierto que Petya no es un Ransomware, sino un "malware Wiper" letal para el ordenador. Los investigadores han hallado que Petya está diseñado para parecer un Ransomware. Su estructura no tiene ningún esquema de recuperación de información en absoluto. Tras reiniciar el ordenador de la víctima, Petya cifra la tabla de archivos maestros (MFT) del disco duro y ocasiona fallos en el registro de arranque maestro (MBR). El código encriptado se reemplaza por su propio código malicioso, lo que le prohíbe arrancar su equipo y, a continuación, una pantalla muestra una nota de rescate. Sin embargo, la nueva variante de Petya no conserva ninguna copia del MBR reemplazado. Por tanto, aunque la víctima reciba la clave de descifrado, no puede arrancar su dispositivo informático.


¿Cómo se difunden el Malware y el Ransomware?

La mayor parte de la propagación del Malware se produce por correos electrónicos con enlaces que afirman tener cierta información que los usuarios con pocos conocimientos informáticos pueden encontrar interesante. Una vez que el usuario hace clic en dicho enlace, se le redirige a un sitio web falso que parece real. A continuación, para acceder a la información o al programa requerido, se solicita al usuario que descargue un software. Si el usuario descarga ese software, su ordenador se infecta. Entre las principales fuentes de ataques cibernéticos se encuentran los sitios web y las ventanas emergentes que afirman ofrecer contenidos gratuitos, como música o películas gratis.

Estas brechas de seguridad permiten a los estafadores rastrear su comportamiento en el ordenador y robar credenciales personales. Esta información se puede utilizar para diversas actividades delictivas y las consecuencias pueden ser importantes.


¿Cómo protegerse contra ataques de malware con una VPN?

Si bien realizar copias de seguridad de sus datos periódicamente es el paso más eficaz e importante para proteger su dispositivo contra Malware y Ransomware, usar una VPN también puede aumentar la seguridad de su sistema.

Una VPN le permite acceder a la web de manera anónima, lo cual dificulta la tarea de rastrear su ordenador a los atacantes.

Muchas VPN de alto nivel proporcionan una advertencia de seguridad a los usuarios cuando intentan acceder a URL sospechosas.

Además, con una VPN, se cifran todos los datos que se comparten en línea, de manera que quedan fuera del alcance de los autores de malware.
¿Busca una VPN para proteger su ordenador contra amenazas cibernéticas? Eche un vistazo a nuestras VPN más recomendadas.
Leer Más

viernes, 18 de agosto de 2017

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño


EN ESTA SEXTA Y ÚLTIMA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” CONOCEREMOS ALGUNOS PERSONAJES MUY FAMOSOS DENTRO DEL ÁMBITO DE LA INGENIERÍA SOCIAL Y EXPLORAREMOS ALGUNOS DE SUS MÁS CONOCIDOS ENGAÑOS.

Introducción

Mucho antes que se popularice el término de Ingeniería Social, existieron varios “Artistas del Engaño” los cuales, quizás sin saberlo, aplicaban muchas de las técnicas que hemos visto a lo largo de esta serie, llegando a cometer delitos increíbles.

A continuación se detallan los más resonantes.

Victor “El Conde” Lustig

Nacido en República Checa en 1890, fue un experto del engaño y según comentan los que lo conocieron era muy agradable y culto (perfil ideal para un Ingeniero Social).

Lusting eligió a París para realizar una de sus grandes e increíbles estafas: “La venta de la Torre Eiffel”, sí aunque parezca mentira este experto del engaño logró “vender la Torre Eiffel” con éxito y no contento con esto, ¡casi la vendió dos veces!.

Todo sucedió en 1925 cuando Lusting vió en un diario un artículo que indicaba lo costoso que se le estaba haciendo a la ciudad de París el mantener la Torre Eiffel, por lo que pronto se estaría convirtiendo en una torre de chatarra. Así fue que se le ocurrió un plan descabellado: ¡Vender la Torre como chatarra!.

Su primer acción fue contratar a un falsificador para que elaborara papeles “oficiales” del gobierno, para luego invitar a 6 comerciantes de chatarra a una reunión de negocios “confidencial” en un hotel muy lujoso de la ciudad. Lustig se presentó como el subdirector general del Ministerio de Correos y Telégrafos, explicándoles a los empresarios que habían sido cuidadosamente seleccionados por ser un grupo de empresarios honestos (una típica acción utilizada en Ingeniería Social). Inmediatamente, vino “la gran propuesta”: les explicó que la ciudad estaba teniendo serios problemas en mantener la torre por lo cual tendrían que venderla como chatarra y pidió a los empresarios que mantuvieran en secreto este tema ya que sería un gran escándalo darlo a conocer públicamente, afirmando también que él era el encargado designado por el gobierno para seleccionar al comprador.

Luego para darle más veracidad a sus acciones (continúa la Ingeniería Social), Lusting contrató una Limusina y llevó a los empresarios a un recorrido de inspección en la Torre, indicando a los mismos que la licitación se realizaría al día siguiente. Sin perder tiempo aprovechó durante el viaje para estudiar y seleccionar a su víctima dentro de los 6 empresarios, siendo el elegido el distribuidor André Poisson, ya que lo había estudiado cuidadosamente y podría ser una presa fácil.

Poisson le comentó a su mujer y ella desconfió inmediatamente. Sabiendo lo sucedido, Lusting convocó a una nueva reunión donde “confesó” que un ministro de gobierno no ganaba lo suficiente como para mantener un estilo de vida bueno. Ésto le sirvió para hacer aún más confidencial el asunto y además recibir un “incentivo” por fuera del monto “oficial”. Así fue que Poisson realizó su oferta mas el soborno, Lusting dio por ganada la licitación a Poisson e inmediatamente escapó con una gran suma de dinero junto a su secretario (otro estafador) rumbo a Viena.

Aunque parezca increíble no pasó nada ya que Poisson estaba muy avergonzado de lo sucedido y no quería dar a conocer la estafa que le habían realizado. Más increíble es que a un mes de la estafa Lusting volvió a París y seleccionó 6 empresarios nuevos para cometer la misma estafa, pero esta vez no tuvo la misma suerte ya que la víctima elegida en este caso acudió a la Policía a realizar la denuncia. Así y todo Lusting pudo escapar y evitar el arresto.

Más información:
https://es.wikipedia.org/wiki/Victor_Lustig
 

Carlo Ponzi

Este Italiano nacido en 1882 que emigró a Estados Unidos en 1903 fue un famoso delincuente especializado en estafas. Dentro de las más famosas está la conocida hoy como "esquema Ponzi" (referenciada en varios libros de economía, similar al esquema piramidal). Básicamente se trataba de conseguir inversores a los cuales se les proponía un 50% de intereses dentro de los 45 días posteriores a su inversión y de un 100% al cabo de 90 días.

Aprovechándose de la avaricia, descuido y grandes cantidades de inversores que querían invertir en este “espectacular” negocio, Ponzi logró hacerse de millones. Si bien cumplía con lo prometido (“en principio”, ya que era cuestión de tiempo el no poder cumplir con todos), la confianza comenzó a terminarse cuando un analista financiero llamado Clarence Barron publicó un informe por encargo del Boston Post, en el cual aseguraba que Charles Ponzi no invertiría nada en su empresa y sería imposible poder cumplir con todos los inversionistas.

A partir de este hecho todo se torno un caos teniendo una multitud de inversionistas furiosos en sus oficinas. El 1 de noviembre de 1920, Carlo Ponzi fue declarado culpable de fraude y se lo condenó a cinco años de prisión, tres años más tarde salió en libertad y luego lo condenaron a nueve años más.

Luego de algunos intentos de huir, otros fraudes y hasta cambios de look para no ser reconocido, Charles Ponzi murió en un hospital de Río de Janeiro en la miseria total.

Más información:
https://es.wikipedia.org/wiki/Carlo_Ponzi

Frank Abagnale Jr


Nacido en 1948 en Bronxville, Estados Unidos, este “ex” estafador dirige hoy en día la empresa financiera Abagnale and Associates. Sus estafas y engaños fueron tan increíbles en la década del 60 que hasta el mismísimo Steven Spielberg dirigió una película basada en su vida (Atrápame si puedes).

Uno de sus primeros engaños tuvo como víctima a su propio padre, quien le había regalado un auto usado y al cual convenció que le prestara su tarjeta de crédito para comprar unos repuestos que necesitaba para arreglar algunos desperfectos en el mismo. Así fue como su padre accedió, Frank compro los repuestos (que no necesitaba) y luego se los vendió por un menor precio a un taller, haciéndose así rápidamente de efectivo.

Más tarde ya queriendo entrar en “las grandes ligas” comenzó a realizar estafas bancarias, tomó personalidades falsas y hasta incluso ejerció como abogado, piloto de Pan Am (viajando gratis por mucho tiempo) y médico. Ejerciendo ilegalmente esta última profesión tuvo un buen susto ya que un día puso en juego la vida de un bebé y fue ahí cuando decidió no “ejercer” más.

Fue perseguido un buen tiempo por el agente Joseph Shea del FBI del cual pudo escaparse muchas veces (en la película se puede apreciar claramente), pero finalmente el agente pudo capturarlo en Francia. Así y todo antes de cumplir 20 años Frank Abagnale Jr había cometido fraudes por un valor aproximado a 2,5 millones de dólares.

Si bien había cometido fraudes en muchos países, los cuales estaban ansiosos de tenerlo tras las rejas Abagnale estuvo preso en Francia, Suecia y por último, cerca de 5 años en Estados Unidos. El mismo poseía un gran número de cargos como: suplantación de identidad, fraude, falsificación documental, ejercicio ilegal de profesiones robo de bancos, etc.

Tal como reza con el viejo dicho: “Si No puedes contra tu enemigo únete a él”. El gobierno norteamericano le ofreció reducir su condena y salir antes de prisión siempre y cuando los ayudara contra la lucha del fraude (¡que mejor que este experto en fraudes para ello!).

Hoy en día es millonario, escribió varios libros y fue quien diseñó muchos de los cheques antirrobo que se usan actualmente en todo el mundo.

Más información:
https://es.wikipedia.org/wiki/Frank_Abagnale_Jr.

Kevin Mitnick

Nacido en Los Ángeles – Estados Unidos, en 1963 fue quien impulsó e hizo conocido el concepto de Ingeniería Social dentro del mundo IT. Su historia comienza desde muy chico. Ya a los 16 años de edad rompió la seguridad en el sistema administrativo de su colegio, pero no para modificar sus notas sino solo para curiosear y divertirse.

Su primer infracción a la Ley fue en 1981, al entrar físicamente en las oficinas de la empresa COSMOS (Computer System for Mainframe Operations) perteneciente a Pacific Bell. Allí junto a dos amigos robaron información muy valiosa de la empresa valuada en 200.000 Dólares. Inmediatamente fueron delatados por la novia de uno de los amigos y tiempo después sentenciados a 3 meses de prisión y 1 año de libertad condicional, la cual cumplieron en tiempo y forma pero al tener ese espíritu inquieto Kevin siguió haciendo de las suyas. Hasta incluso con el oficial asignado como custodia, quien se dio cuenta que su teléfono había sido dado de baja y que la compañía telefónica no tenía ningún registro de lo sucedido.

A medida que pasaba el tiempo sus objetivos iban creciendo, y fue así que entró ilegalmente a computadoras del comando de defensa Aéreo de Norteamérica, ARPAnet (predecesora de internet), Microcorp Systems y hasta intentó ingresar a la red del Pentágono.

No todo en su vida fue la ilegalidad, un día intentó conseguir trabajo en el Security Pacific Bank como encargado de la seguridad del banco (quien mejor que él), pero el banco al ver sus antecedentes rechazó su solicitud de inmediato. Mitnick no contento con esto procedió a falsificar un balance del banco mostrando pérdidas por 400 millones e intentó hacerlo público.

Una de las acciones que lo lanzó a la fama fue el tener acceso secreto durante varios meses al correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation. Ésto lo realizó para conocer cómo estaban protegidos sus equipos y sus sistemas telefónicos. Luego de una ardua recolección de información Mitnick pudo hacerse de 16 códigos de seguridad de MCI, para luego intentar entrar junto a un amigo a la red del laboratorio de investigaciones de Digital Corporation conocida como Easynet. Su objetivo final era el poder hacerse de un nuevo prototipo del sistema operativo de seguridad de Digital llamado VMS. Personal del laboratorio advirtieron del ataque al FBI e inmediatamente comenzó su rastreo. Mitnick fue arrestado en 1988 por invadir y causar daños por 4 millones de dólares a la empresa, siendo culpable por los cargos de fraude y posesión ilegal de códigos de acceso de larga distancia.

Fue tal la fama que ganó Mitnick que adicionalmente a la sentencia el fiscal solicitó una orden a la corte para que le prohibiera acceder a cualquier teléfono, ya que con el sólo hecho de hacerlo podría causar daños inimaginables.

Mitnick consiguió de alguna manera que su abogado también usara Ingeniería Social, ya que la táctica que presentó para reducir su condena fue alegar que su defendido sufría de adicción a las computadoras, similar a cualquier otra adicción como a las drogas por ejemplo. Así fue que la condena se redujo notablemente solo a un año de prisión y luego 6 meses de tratamiento para poder tratar su “adicción”, durante el cual tenía prohibido acercarse a una computadora.

Ya para 1991 Mitnick había adquirido una gran fama y hasta llegó a ocupar las primeras planas en diarios muy importantes como el New York Times. En 1992 luego de terminar su tratamiento comenzó a trabajar en una agencia de detectives, pero no duró mucho tiempo hasta que hiciera de las suyas nuevamente y violará los términos de su libertad condicional al descubrirse el uso ilegal con bases de datos. Fue así que allanaron su casa pero para ese entonces Mitnick se había ido y desde allí fue cuando comenzó su vida como prófugo.

Ese mismo año se dió a conocer una recompensa por su captura en la cual se pagaría un millón de dólares por parte del Departamento de Vehículos de California, ya que se lo acusaba de haber tratado de obtener una licencia de conducir de manera fraudulenta, utilizando para ello un código de acceso y el envío de un fax.

Ya con su “nueva vida” como prófugo Mitnick busco la mejor forma de poder seguir haciendo de las suyas sin ser rastreado y fue allí que se le ocurrió comenzar a utilizar teléfonos móviles para poder moverse de un lugar a otro sin tener que permanecer estático por un determinado tiempo al utilizar como hasta ese momento teléfonos fijos. Para poder hacer esto necesitaba tener acceso a sistemas similares a los que hasta ese momento había utilizado, pero esta vez en teléfonos móviles.

Fue así que después de muchos intentos dió con la computadora de Tsutomu Shimomura, en la cual ingresó a fines del año 1994 y robó gran parte del software que él mismo poseía. Shimomura era un físico computacional y experto en sistemas de seguridad del San Diego Supercomputer Center, como se puede apreciar no era una víctima “fácil” como las anteriores, tal es así que aquí comenzaba el principio del fin.

Tiempo después de la intrusión Shimomura se dió cuenta que alguien había ingresado en su computadora utilizando para ello técnicas muy complejas que él desconocía. Fue así que se propuso atrapar a quien había osado entrar en su computadora, prevaleciendo el orgullo ante todo.

Para fines de Enero de 1995 el software de Shimomura fue hallado en una cuenta de un proveedor de internet en California. Al parecer el objetivo era lanzar ataques a varias empresas, entre ellas Motorola, Apple y Qualcomm.

Shimomura se reunió con la empresa proveedora de internet y con un técnico de la compañía de telefonía celular, pudiendo llegar a la conclusión de que Mitnick había creado un número de móvil falso para acceder al sistema. Luego de un par de semanas pudieron comprobar que las llamadas provenían de Raleigh, California. Shimomura se comunicó inmediatamente con el FBI y estos comenzaron un rastreo sofisticado para poder dar con el celular de Mitnick.

Tal como pasa en las películas, montaron los dispositivos de rastreos en una furgoneta y comenzaron con el operativo para poder dar con el paradero de Mitnick a través del rastreo de su celular. Días después logran dar con su paradero y el 15 de Febrero se acercaron sigilosamente hasta la entrada del departamento, anunciaron su presencia e ingresaron rápidamente, decomisando todo el material que este poseía (discos, teléfonos, computadoras, etc).

Algo muy curioso que sucedió luego del arresto fueron varios mensajes de voz que recibió Shimomura en su contestador, los mismos fueron efectuados por Mitnick 8 horas después de su arresto, en los cuales podía apreciarse un tono de burla con acento oriental.

Hoy en día Kevin Mitnick es uno de los Hackers más reconocidos en el mundo entero, pasa gran parte de su tiempo dando conferencias por distintos países y cuenta con su propia empresa de seguridad llamada: Mitnick Security, en la cual pone énfasis en la concientización como base para protegerse de ataques informáticos.

Más información:
https://es.wikipedia.org/wiki/Kevin_Mitnick

Sobre esta serie

Este ha sido el último post de la serie "El arte de engañar al usuario".

Esperamos que haya disfrutado de la misma y que haya servido tanto para ampliar sus conocimientos en cuanto a la Ingeniería Social como así también para tomar consciencia acerca de los riesgos que ésta implica, tanto en el ámbito personal como organizacional.
Leer Más

viernes, 11 de agosto de 2017

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección



EN ESTA QUINTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LAS MEDIDAS DE PROTECCIÓN QUE PUEDEN TOMAR LAS ORGANIZACIONES PARA COMBATIR LA AMENAZA DE LA INGENIERÍA SOCIAL.

Cómo protegernos

Como ya se mencionó en este artículo, la mejor manera de encarar una estrategia de seguridad es hacerlo a través de diferentes capas de protección, ya que no existe una única solución que mágicamente mitigue todos los riesgos de seguridad de la información.

Debido a que la Ingeniería Social apunta directamente al factor humano, la medida más efectiva para protegerse de estos ataques será definir, implementar y mantener una capa de seguridad orientada a las personas dentro de nuestra organización.

¿Con esta capa de seguridad estamos cubiertos?

La seguridad al 100% no existe. Es imposible disminuir todos los riesgos de seguridad a cero, y menos aún hacerlo con una única capa de seguridad. Dicho esto, Incluir a los usuarios en la estrategia de seguridad de nuestra organización significa desarrollar una capa muy importante de seguridad, que, dependiendo de algunos factores, será más o menos efectiva. Estos factores son:

  • El compromiso de la alta gerencia para implementar y mantener esta capa
  • Los recursos con los que contemos para hacerlo (principalmente el presupuesto)
  • La efectividad de los controles que llevemos a cabo

Cuanto mayores sean dichos ítems, más podremos disminuir el riesgo de un ataque de Ingeniería Social y, por lo tanto, mayor será nuestro nivel de seguridad. No alcanzaremos el 100% de seguridad, pero podremos estar tan cerca como los mencionados factores nos lo permitan.
 

Hardening de Usuarios

Para definir, implementar y mantener nuestra capa de seguridad orientada a las personas, deberemos tener en cuenta los siguientes aspectos:

Por un lado, necesitaremos llevar adelante un plan de Capacitación y Concientización en Seguridad de la Información, orientado al cambio de comportamiento y con contenidos originales y atractivos para los usuarios.

Por el otro, tendremos que incluir evaluaciones capaces de medir el cambio de comportamiento de nuestros usuarios. La manera de lograr esto es mediante simulaciones de trampas de Ingeniería Social, que pongan a prueba no sólo los conocimientos de cada usuario, sino también sus hábitos, que son lo que realmente cuenta.

De esta manera, podremos saber si nuestras acciones van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc. Además, contaremos con las métricas necesarias para poder realizar reportes ejecutivos a la alta gerencia, justificar nuestra inversión, ayudar al cumplimiento de normativas, entre otras cosas.

Además, todas estas acciones deberían ser parte de un proceso de mejora continua, siempre actualizado, y aplicado a todos los usuarios de nuestra organización.

Nota: Si estás pensando que desarrollar esta capa de seguridad es un trabajo grande, estás en lo cierto. La buena noticia, es que existen herramientas que pueden ayudarte a hacerlo con el mínimo esfuerzo y los mejores resultados.

Los controles tecnológicos

Muchas veces, con el objetivo de combatir la Ingeniería Social, las organizaciones implementan controles tecnológicos como Antivirus, Anti-Spam, DLP, etc. Poseer dichos controles puede ser una buena idea (siempre según las necesidades de cada organización) pero confiar 100% en ellos para detener un ataque de Ingeniería Social no lo es.

Los Ingenieros Sociales demuestran diariamente (y esto puede verse ingresando a cualquier portal de noticias sobre seguridad informática) cómo saltan virtualmente cualquier barrera de seguridad tecnológica con sus engaños. Por eso, volvemos a la seguridad en capas. Conservemos los controles tecnológicos, pero no olvidemos definir, implementar y mantener nuestra capa de seguridad orientada a nuestros usuarios.

Conclusiones

Los Ingenieros Sociales están continuamente actualizando sus técnicas para mantener la efectividad de sus ataques. El juego nunca termina, y cada vez que se desarrolla una solución tecnológica contra un Ingeniero Social, éste encuentra la manera de sortearla.

Es por eso que la mejor decisión en este caso es enfocar nuestros recursos hacia las personas y llevar adelante un proceso de Hardening de todos nuestros usuarios. Y no sólo lograremos disminuir el riesgo de que nuestros usuarios sean manipulados por un Ingeniero Social, sino que un Plan de Concientización bien implementado tendrá muchas ventajas extras, como la mejora de la imagen del área de seguridad en toda la organización, el cumplimiento de normativas internas y externas, apoyo legal contra litigios, mejora de la autoestima de nuestros usuarios, y un largo etcétera.

Sobre esta serie

Este es el quinto y penúltimo de una serie de posts sobre la Ingeniería Social. Sólo resta el último post, el cual estará dedicado a reconocidos personajes de la Ingeniería Social, para conocer algunos datos curiosos y anécdotas sobre ellos.
Leer Más

martes, 25 de julio de 2017

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

  

No More Ransom celebra su primer año, con más de 28.000 dispositivos descifrados y más de 100 Partners alrededor del mundo

Hace un año, el 25 de julio de 2016, la iniciativa No More Ransom fue lanzada por la Policía Nacional Holandesa, Europol, McAfee y Kaspersky Lab. Al día de hoy, ya son más de 100 los Partners que se han unido a ella, mientras los principales ataques de ransomware continúan dominando las noticias y golpeando a empresas, gobiernos e individuos de todo el mundo.


La amenaza del ransomware está aumentando

El Ransomware se ha disparado desde 2012, con los criminales atraídos por la promesa de beneficios económicos y facilidad de implementación. La amenaza continúa evolucionando, volviéndose más furtiva y más destructiva, y está dirigiéndose cada vez más a las empresas por sobre las personas particulares, porque los retornos potenciales son mucho más altos.

El ataque indiscriminado de WannaCry a mediados de mayo causó más de 300.000 víctimas comerciales en 150 países en sus primeros días, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están luchando para recuperarse de los ataques de ExPetya del 27 de junio.

El número total de usuarios que se enfrentaron a un Ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores, de 2.315.931 a 2.581.026 usuarios de todo el mundo. Las estadísticas indican que estamos en presencia de la epidemia mundial de Ransomware.


El primer año de No More Ransom en números

El sitio cuenta actualmente con 54 herramientas de descifrado, proporcionadas por 9 Partners, que cubren 104 tipos (familias) de Ransomware. Hasta el momento, estas herramientas han conseguido descifrar más de 28.000 dispositivos, privando a los cibercriminales de unos 8 millones de euros en rescates.

El portal ha contado con más de 1,3 millones de visitantes únicos. El 14 de mayo, durante la crisis de WannaCry, 150.000 personas visitaron el sitio web.

La plataforma No More Ransom ya está disponible en 26 idiomas, con las adiciones más recientes: búlgaro, chino, checo, griego, húngaro, indonesio, malayo, noruego, rumano, sueco, tamil y tailandés.


Más de 100 Partners: Sin fronteras entre privados, públicos o competidores

No More Ransom cuenta ahora con 109 Partners. Las últimas incorporaciones incluyen, desde el sector privado: Abelssoft, Ascora GmbH, Barclays, Bitsight, Universidad de Bournemouth, CERT.BE, Claranet, CERT PSE, Agencia de Seguridad Cibernética de Singapur (CSA), ESTSecurity, Fortinet, Global Forum (GFCE), InterWorks, IPA (Agencia de Promoción de la Tecnología de la Información, Japón), KISA (Korea Internet & Security Agency), Munich RE, TWCERT / CC, LLC, Universidad de Porto y vpnMentor.

Se han unido también cuatro agencias policiales, provenientes de República Checa, Grecia, Hong Kong e Irán.

El éxito de la iniciativa No More Ransom es un éxito compartido, que no puede lograrse solo por las agencias policiales ni por la industria privada. Al unir fuerzas, mejoramos nuestra capacidad para enfrentar a los criminales y poder detenerlos en su intento de dañar a personas, negocios e infraestructura crítica, de una vez por todas.


No hay mejor cura que la prevención

A pesar de todo esto, no hay mejor cura que la prevención. Los usuarios de Internet deben evitar ser víctimas, y para eso deben conocer qué es el Ransomware y ser conscientes de las consecuencias que puede tener una infección de este tipo tanto para la organización en la cual trabajan como en sus propios hogares.

Además, deben conocer las vías comunes de infección del Ransomware, y lo más importante de todo, desarrollar hábitos y conductas seguras que sirvan como barrera para evitar este tipo de infecciones. Esto es así ya que los delincuentes suelen apuntar a las personas a la hora de buscar un factor a vulnerar con el objetivo de instalar un Ransomware. La mejor forma de alcanzar todo este conocimiento y hábitos seguros para los usuarios dentro de una organización es mediante un plan de Concientización o Awareness.

Nuestro compromiso continúa

Desde SMARTFENSE continuamos profundamente comprometidos en la lucha contra el Ransomware y seguiremos, junto con todos nuestros aliados en No More Ransom, dando pelea día a día contra esta gran amenaza.
Leer Más

viernes, 21 de julio de 2017

El cambio de comportamiento y una (de muchas) técnica para lograrlo

El cambio de comportamiento y una (de muchas) técnica para lograrlo


Sobre el cambio de comportamiento

Muchas veces escuchamos hablar sobre “Concientizar a los usuarios”, pero, ¿Qué es realmente?

Mucho se ha hablado ya acerca de que los usuarios son el eslabón más débil de una organización. Esto es así cuando dichos usuarios no han pasado por un correcto proceso de concientización. Concientizar significa incluir a los usuarios de una organización en la estrategia de seguridad de la misma, y lograr un cambio de comportamiento en ellos, mediante el desarrollo de hábitos seguros. De esta manera, se logra convertir al usuario en un aliado para la Seguridad de la Información de la organización y se alcanza el desarrollo de una nueva y muy importante capa de seguridad para ella.

De todas formas, muchas veces se emprende un plan de Concientización sólo para dar cumplimiento a una norma o política interna de la organización. De esta manera, los planes (y la inversión para llevarlos adelante) se convierten en un tilde en el checklist de un auditor y una falsa apariencia de seguridad.

Este enfoque de concientizar sólo para cumplir, viene dado porque las técnicas y herramientas utilizadas para llevar adelante planes de Awareness no suelen ser las apropiadas. Esto genera un prejuicio alrededor del cambio de hábitos en los usuarios finales, donde se cree que es, o bien muy difícil de lograr, o hasta imposible. Entonces, “lo mejor” pasa a ser educar para cumplir, e intentar parchear el gran agujero de seguridad que queda con controles tecnológicos que, si bien hacen su mejor esfuerzo, no logran detener todos los ataques dirigidos a los usuarios.

Resumiendo: Concientizar es importante, ya que el usuario está continuamente en la mira de los ciberdelincuentes, y las soluciones tecnológicas por sí solas no son suficientes para detenerlos. Y muy importante: Concientizar es posible.

Dicho esto, vamos a ver una de las técnicas (de muchas) que debemos tener en nuestro portafolio a la hora de llevar adelante un cambio de comportamiento exitoso en los usuarios de nuestra organización: El Refuerzo Positivo.

nota: si estás pensando que concientizar (de verdad, no sólo para cumplir) es un proceso en el que hay que tener en cuenta muchas técnicas, herramientas y metodologías, estás en lo cierto. Pero para tu suerte, existen plataformas que integran las mejores prácticas para que hacerlo se convierta en una tarea simple y efectiva.

Corregir con lapicera verde

El Refuerzo Positivo es una forma diferente de encarar un proceso de cambio de hábitos. La mayoría de las veces, durante la enseñanza, la persona a cargo de la misma se enfoca en destacar errores, con el objetivo de que éstos se reconozcan y se eviten. Esto sucede también en la mayoría de los entrenamientos asistidos por computadora.

Si nos ponemos en el lugar de una persona cualquiera dentro de nuestra organización, con todas sus tareas, obligaciones y estrés del día, lo que menos querrá es que remarquen, continuamente, cada cosa que hace mal. Menos, tendrá interés de rehacer una capacitación en la que no logró determinada nota, o quedar "trabada" por no encontrar una solución correcta.
Aquí entra en juego el Refuerzo Positivo. Esta técnica consiste en centrar la atención en lo positivo y no limitarse sólo a destacar los errores. Tiene su origen en la Psicología, como no podía ser de otra manera, puntualmente en el "Reforzamiento".

Reforzamiento: procedimiento mediante el cual la aplicación de un estímulo (llamado reforzador) hace que aumente la probabilidad de que una conducta se repita en el futuro.
El Refuerzo Positivo entonces tiene lugar cuando una respuesta va seguida de una recompensa o cualquier otro evento positivo, y aumenta la probabilidad de que ésta vuelva a ocurrir.

Este cambio de enfoque, trae consigo una multitud de ventajas:

Afianza los conocimientos

Contribuye a afianzar lo bueno o correcto y a desechar lo negativo o incorrecto.

Estimula el esfuerzo

Al sentir que se reconoce algo que ha hecho correctamente, la persona va a valorarlo y se sentirá más predispuesta a continuar con su capacitación.

Fomenta la receptividad

Si nos limitamos a criticar y destacar los fallos, la persona acabará perdiendo el interés y abandonará su capacitación. Si la misma es obligatoria, la hará a la fuerza, pero sin asimilar ninguna enseñanza. En cambio, al incluir comentarios positivos y señalar lo que hace bien contribuiremos a que la persona esté más receptiva y asimile mucho mejor cuál es el camino correcto.

Motiva y crea conductas

A través del reconocimiento de sus aciertos ofrecemos a la persona un estímulo, despertamos sus ganas de actuar correctamente y hacer bien las cosas.

El método del refuerzo positivo contribuirá a motivar a la persona en busca del premio o aprobación por sus aciertos, pero creará también una conducta, un hábito que formará parte de su personalidad.

Cuando una persona está ya bajo el control del reforzamiento positivo, tiende a actuar sin que haya un motivo o causa antecedente o previa. De esta forma, llevará a cabo los comportamientos inducidos con "libertad". Y cuando hay sensación de libertad, no hay control aparente, lo cual es positivo ya que cuando hay control la gente se molesta, trata de huir, reclama, se queja, y ejerce la rebeldía.

Mejora la autoestima

Ayudamos a la persona a detectar sus fortalezas y mejorar su autoestima, evitamos el desánimo y la frustración y contribuimos a que construya una imagen de sí misma real y positiva. Además, logramos que la persona pase un buen momento dentro de la capacitación y su predisposición a este tipo de campañas de concientización sea positiva.

Conclusión

A la hora de elaborar una metodología para llevar adelante un Plan de Concientización tengamos en cuenta el concepto del Refuerzo Positivo. Si vamos a utilizar una herramienta para llevarlo a cabo, entonces seleccionemos una que tenga en cuenta este concepto.
Éste, será uno de varios elementos que nos ayudarán a crear un cambio de comportamiento real en los usuarios de nuestra organización y en consecuencia una capa de seguridad muy importante para ella. Y, no menos importante, hará que el área de seguridad sea vista con ojos amigables, como un aliado dispuesto a ayudar a los usuarios y reconocer de buena manera sus aciertos.

Fuentes

Leer Más

viernes, 7 de julio de 2017

El Arte de Engañar al Usuario - Parte 4: Ataques remotos

El Arte de Engañar al Usuario - Parte 4: Ataques remotos


EN ESTA CUARTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA REMOTA, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA LOCAL, YA VISTOS EN LA PARTE 3.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma remota.

Phishing

Tal como su nombre lo indica esta técnica busca “pescar” víctimas. Generalmente se utiliza para ello el envío de correos electrónicos conteniendo adjuntos con malware, links a páginas falsas, o simples solicitudes de información, con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos).

Un ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y la misma tiene dinero (generalmente son sumas millonarias) que quiere donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su “buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta dejándole un porcentaje siempre y cuando se cumpla la condición de que el resto del dinero sea donado con fines solidarios.

El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que le envíe distintos datos personales como así también fotocopia de documento para “verificar” su identidad) y además una suma pequeña de dinero (para no levantar sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de escribano, sellados, etc.

Esta técnica se vuelve aún más peligrosa y efectiva cuando es apuntada a un objetivo específico como por ejemplo un empleado que tiene acceso a diferentes sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing ya que más que pescar sería cazar con un arpón.

Redes Sociales

Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un lado y generar una relación con la misma por otro.

Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.

Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está generando si un atacante lo elige como objetivo.

Telefónicos

Kevin Mitnick fue un famoso Phreaker (Hacker Telefónico), que con el sólo uso de un teléfono logró hacer cosas increíbles.

Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de “Pretexting” e “Impersonate” vistas en el post anterior, siendo mucho más cómodo y seguro para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial delante de su víctima.

Sobre esta serie

Este es el cuarto de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

martes, 27 de junio de 2017

Seguridad, Confianza y Garantía en la Nube [Actualizado]

Seguridad, Confianza y Garantía en la Nube [Actualizado]


Recientemente, en SMARTFENSE, hemos dado un gran paso en el compromiso con la Seguridad de la Información de nuestra plataforma, dándonos de alta en el programa CSA STAR (CSA Security, Trust & Assurance Registry).

Dicho programa, es el programa más potente de la industria para garantizar la seguridad en la nube, y abarca los principios clave de transparencia, auditoría y armonización de normas.

STAR consta de tres niveles de aseguramiento, y se basa en una lista completa de objetivos de control centrados en la nube, que recibe el nombre de Cloud Controls Matrix (CCM). CCM es el único meta-marco de controles de seguridad específicos de la nube, y está mapeado a los principales estándares, las mejores prácticas y regulaciones. Esto lo convierte en la herramienta por excelencia para las organizaciones que buscan obtener la estructura, detalle y claridad necesarios en relación con la Seguridad de la Información en la nube.

Beneficios para los usuarios de servicios en la nube

Este programa, accesible al público, está diseñado para que los usuarios de servicios en la nube evalúen a sus proveedores de nube, proveedores de seguridad y empresas de servicios de asesoría y evaluación para tomar las mejores decisiones de adquisición.

De esta manera, todas las personas interesadas en la plataforma SMARTFENSE, tendrán una fuente confiable y objetiva de información para poner sobre la balanza a la hora de evaluar la adopción de la plataforma.

Acerca de la CSA

La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones.

Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria.

SMARTFENSE Sponsor de la CSA SUMMIT 2017

De la misma manera que el pasado año, el capítulo de Argentina de la CSA vuelve a organizar una conferencia de alto nivel para aprender sobre el progreso de las empresas en el cambio de la Computación en la Nube y las nuevas tendencias clave en Seguridad de la Información.

Como no podía ser de otra manera, para remarcar nuestro compromiso con la seguridad en la nube, hemos decidido ser sponsors de este gran evento, que se llevó a cabo en la ciudad de Buenos Aires el 29 de Junio del corriente año.

Algunas fotos del evento

 

 
 
 

Leer Más

miércoles, 21 de junio de 2017

Adjuntos de emails con extensiones peligrosas: protección en capas

Adjuntos de emails con extensiones peligrosas: protección en capas



Tal como se comentó en el post Phishing y Ransomware últimas tendencias de protección (Recursos), acerca del bloqueo de archivos adjuntos a correos electrónicos con extensiones potencialmente peligrosas, en el presente post se expondrán distintas barreras de seguridad para realizar dicho bloqueo en un entorno Microsoft, con Exchange como servidor y Outlook como cliente de correo.

Cuando hablamos de extensiones peligrosas, hacemos referencia a archivos ejecutables o scripts, como ser: .exe, .bat, .vbs, .cab, .scr, .ps1, .js, entre otras.

La importancia de la seguridad en capas

La importancia de aplicar controles en diferentes puntos de la organización radica en la disminución del riesgo de ser víctima de un ataque, en este caso, a través de archivos maliciosos adjuntos en correos electrónicos. Por lo tanto, si el atacante evade algún control, habrá otros detrás que le complicarán el cumplimiento de su objetivo.

Aplicando la defensa en profundidad

La defensa en profundidad es uno de los principios de Seguridad de la Información y para este caso particular, se aplica de la siguiente manera:

Bloqueo a nivel de servidor de correo

Todos los servidores de correos actuales tienen la posibilidad de realizar el bloqueo de archivos adjuntos con extensiones peligrosas para evitar que llegue a la bandeja de entrada de los usuarios.

En el artículo para Microsoft Exchange 2016 (y anteriores) se explica cómo hacer dichos bloqueos.

Bloqueo a nivel de sistema operativo

La protección a este nivel es importante dado que, dependiendo de los permisos que tenga el usuario para descargar archivos de Internet, es posible que descargue malware, independiente a la posibilidad que le llegue un correo malicioso a la bandeja de entrada.

Para el caso de sistemas Windows, es posible realizar un bloqueo de extensiones desactivando la aplicación Windows Script Host a través del registro o creando una GPO. En este artículo se explica cómo hacerlo.

Bloqueo a nivel de cliente de correo

Otro punto importante para evitar que un correo electrónico con un adjunto malicioso llegue al buzón del usuario es realizar el filtrado en el mismo cliente de correo, en este caso, Microsoft Outlook. Este enlace proporciona información para un entorno donde no se utilice Exchange y tenga instalado Outlook Security Administrator Package.

Como información adicional, en la sección Comportamiento de datos adjuntos de este artículo, se explica cómo funciona el cliente de Microsoft Outlook 2007, 2003, 2002 y 2000, y aquí aparece un listado de las extensiones que bloquea Microsoft Outlook por defecto.

En el caso que utilice Windows Live Mail, es conveniente revisar si está activada la opción de bloqueo de archivos adjuntos potencialmente peligrosos. Para ello siga las siguientes instrucciones:

Seleccione el menú del extremo superior izquierdo -> Opciones -> Opciones de seguridad…


Diríjase a la solapa Seguridad -> Tilde la opción No permitir que se guarden ni abran datos adjuntos que puedan contener virus.

win-mail-config2.png


Políticas de Windows

En caso de administrar un entorno Windows, es posible crear un objeto de directiva de grupo (GPO) para implementar controles de forma masiva. Algunos de ellos son:

Restricción de la ejecución de archivos desde las carpetas que utilizan los clientes de correo

En varios casos se guardan en la carpeta TEMP. https://msdn.microsoft.com/es-es/library/hh994580(v=ws.11).aspx

Mostrar extensiones de archivos

Es importante conocer qué tipo de archivo estamos por abrir, ya que en caso de recibir un correo cuyo adjunto sea .pdf.exe, .doc.exe, .xls.js, etc., si no se tiene configurada esta opción, el receptor podrá visualizar que el documento es .pdf,.doc,.xls, etc. Para ello es posible configurarlo:

- Localmente en una estación de trabajo

https://support.microsoft.com/es-ar/help/865219/how-to-show-or-hide-file-name-extensions-in-windows-explorer

- Por GPO (si tiene un servidor con Active Directory)


Dirijase a Configuración de usuario -> Preferencias -> Configuración del Panel de control -> Opciones de carpeta -> Nuevo -> Opciones de carpeta (como mínimo, Windows Vista)


Destilde la opción Ocultar las extensiones para tipos de archivos conocidos


Concientización

Como venimos mencionando en otros posts de nuestro blog, es fundamental informar y educar a los usuarios, entre otros temas, respecto a la forma en que los ciberdelincuentes los pueden engañar o persuadir para que abran un archivo adjunto a un email, de manera que sepan cómo actuar en caso que los ataquen.

Conclusión

Podemos concluir que una sola medida de seguridad es insuficiente. Si queremos minimizar los riesgos de ser víctima de este tipo de ciberataques, es necesario implementar controles en diferentes capas de la infraestructura, incluidas las personas.

De esta manera, lograremos contener los intentos de infección a través de archivos adjuntos maliciosos enviados a través de correos electrónicos… ¡Manos a la obra!
Leer Más

jueves, 15 de junio de 2017

La nube y el control de accesos

La nube y el control de accesos


Este problema ya estaba resuelto...

Históricamente, ha existido el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

En muchas organizaciones, dicho problema se ha afrontado mediante un servicio de directorio, como Active Directory de Microsoft. Mediante este tipo de servicios, se pueden gestionar usuarios, servicios y recursos de una red, y controlar así en forma centralizada quién tiene acceso a qué.

...Hasta que llegó el SaaS

En la actualidad, esta solución está comenzando a quedar incompleta, debido a la llegada de las aplicaciones en la nube consumidas desde nuestras organizaciones. Con este nuevo paradigma, todo nuestro control interno logrado con la ardua implementación de un servicio de directorio, se pierde.

Al adoptar un nuevo servicio en la nube, es necesario dar de alta nuestros usuarios en dicho servicio. Esto significa que ellos manejarán nuevas credenciales y nosotros tendremos que administrar estos nuevos usuarios en forma paralela a nuestro servicio de directorio. 
Pensemos qué pasaría si la cantidad de servicios en la nube que adoptamos crece. Teniendo en cuenta la tendencia del mercado, esto va a suceder. Pensemos también qué pasaría si algún día nuestra organización contrata a un nuevo empleado y debemos darlo de alta en todos los servicios, o si algún día uno abandona la misma, y debemos darlo de baja en todos ellos.

¡Necesitamos volver a solucionarlo!

Una solución elegante, sería poder utilizar nuestro servicio de directorio ya consolidado para poder controlar en forma centralizada el acceso a todas las aplicaciones que utilicemos en la nube.

Esto, es lo que propone Microsoft por ejemplo, con Microsoft Azure AD. Si bien no es posible utilizar el conocido Active Directory Domain Services on-premise para resolver los problemas mencionados, debido a que fue concebido para otros fines, sí que es posible sincronizarlo con Microsoft Azure AD y tener así una solución de autenticación de usuarios para servicios en la nube 100% fiel a la estructura de nuestro Active Directory.

Incluso, es posible adoptar Microsoft Azure AD sin poseer previamente un Active Directory on-premise.

De esta manera, si una aplicación en la nube soporta Microsoft Azure AD, nosotros, como administradores, sólo deberemos habilitarla para que los usuarios de nuestra organización puedan utilizarla. Simplemente deberán estar logueados con su cuenta de Active Directory para poder acceder a ella.

Así, volvemos a obtener el control centralizado que deseamos, a la vez que nos significa menos esfuerzo adoptar nuevos servicios en la nube y se nos abren las puertas a todas las aplicaciones presentes en el Market de Azure, como Office 365, G-Suite, Dropbox, y miles de aplicaciones más.

En cuanto a nuestros usuarios, les estaremos simplificando el acceso a todos los servicios que decidamos implementar y les ahorraremos la tarea de gestionar múltiples contraseñas.

Cabe aclarar que previo a Microsoft Azure AD, muchos administradores de Active Directory intentaron conseguir esto mediante otros medios, pero no fue posible llegar a soluciones del nivel de Microsoft Azure AD.

Con SMARTFENSE es posible

A partir de la versión 1.4 de reciente liberación, es posible utilizar SMARTFENSE junto con Azure, logrando así todas las ventajas mencionadas en este artículo.
Leer Más

miércoles, 7 de junio de 2017

El Arte de Engañar al Usuario - Parte 3: Ataques locales

El Arte de Engañar al Usuario - Parte 3: Ataques locales


EN ESTA TERCERA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA LOCAL, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA REMOTA, TEMA CORRESPONDIENTE A LA PARTE 4.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma local, es decir, personalmente.

Pretexting / Impersonate

Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como así también en los remotos
Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate), tratando de generar empatía para ganar credibilidad.
Acto seguido presenta algún tipo de excusa o pretexto (pretexting) como por ejemplo alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención, dando de esta manera instrucciones específicas que terminarán en la instalación de algún tipo de Malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc). 

Tailgating

Este tipo de ataque se aprovecha de la solidaridad y la buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando a su empresa, la cual posee algún tipo de restricción en su acceso físico, como por ejemplo: tarjetas RFID, molinetes, etc.
El atacante irá corriendo con una gran “sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso o en caso de existir un molinete, ingresará junto con la víctima disculpándose por su “torpeza”. 

Baiting

El Baiting (señuelo) es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso los cuales se dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc). 
Para asegurarse del éxito en la explotación se estudia a la víctima previamente detectando así la vulnerabilidad a ser explotada.

Falla en controles físicos de seguridad

Este es quizás unos de los más usados ya que existen muchas empresas con fallas en sus controles físicos. 
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista, el/la cual solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”.
Este tipo de ataque es muy efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que se pueda llegar hasta las oficinas de interés para el atacante. 

Dumpster Diving

Aunque no lo crean una de las técnicas muy utilizadas es revisar la basura, ya que muchas - pero muchas - veces se arrojan papeles con información sensible sin haberlos destruidos previamente (usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, emails impresos, etc.)
También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción como pueden ser: CDs, discos rígidos, etc.

Shoulder Surfing

Esta es una técnica muy utilizada por los Ingenieros Sociales (y los curiosos también :) ). No es ni más ni menos que espiar por encima del hombro de las personas, en muchos casos para poder observar qué está tecleando la víctima y así poder dilucidar su password, PIN y patrones de desbloqueos en teléfonos, etc.

Distracción

Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo
Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa), pudiendo por ejemplo: sacar una foto de la pantalla o papeles con datos importantes, robar un Token, Pendrive o algún dispositivo de almacenamiento, etc.

Sobre esta serie

Este es el tercero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

lunes, 29 de mayo de 2017

¡Los usuarios no tienen sentido común!

¡Los usuarios no tienen sentido común!


El buen sentido es la cosa mejor repartida del mundo, pues cada uno piensa estar tan bien provisto de ella que incluso aquellos que son los más difíciles de contentar en cualquier otra cosa no tienen en esto costumbre de desear más del que tienen.

René Descartes, El Discurso del método [1][2]

En mi día a día me resulta habitual escuchar frases como: “Si caés en trampas de Phishing, es porque no tenés sentido común”, o “Sólo se necesita sentido común para estar seguro en Internet”, y miles de variantes más que tienen como común denominador este ¿grandioso? “Sentido Común”.

Parece que dicho sentido fuese esa solución mágica frente a todo riesgo de la seguridad de la información que tantos intentan (sin éxito, ahora y por siempre) encontrar.

Sin embargo, la experiencia me demuestra que esto no es así, y que parece ser que este sentido común, no es tan común como su nombre lo indica.

Empecemos por el principio, como dicta el sentido común

Luego de leer algunas definiciones sobre el sentido común [3] [4] [5], es inmediato concluir que esto no es un concepto científico, sino filosófico, y hay tantas definiciones como autores hablan del tema.

En general, parece que el sentido común es lo que piensa o sabe la mayoría de las personas acerca de algo, algo así como un “conocimiento común aplicado”. El lector sabrá que si acerca demasiado la mano al fuego, se va a quemar. Eso es parece ser el sentido común.
Ahora bien… ¿Nació usted con sentido común?.

Si en algo coinciden todas las definiciones, es que el sentido común varía entre personas, familias, ciudades y países, y que el mismo se aprende a lo largo de la vida, a través de todo tipo de fuentes, siendo la principal la propia experiencia.

¿Cuándo lo aplicamos?

Cada vez que realizamos un juicio, nuestro sentido común toma parte en nuestra decisión.

Tomando nuestra experiencia y conocimiento general sobre cierta situación, el sentido común saldrá a darnos la respuesta más simple para que podamos tomar la decisión más correcta, simple e inmediata, según él.

Volviendo a la seguridad de la información

Las personas que mencionan que es necesario tener sentido común para proteger la información, puede que tengan razón, hablando desde su propio sentido común, que no es igual al de las otras personas.

Aquellos responsables de seguridad informática que esperan, por ejemplo, que sus usuarios tengan sentido común para no caer en trampas de Phishing, tienen que saber que a sus usuarios el sentido común NO les indica que un archivo adjunto de un correo puede ser peligroso, por mencionar un caso.

De hecho, yo diría que el sentido común, en la mayoría de las sociedades, indica a las personas conductas poco seguras respecto a la protección de la información.

Entonces, ¿el sentido común no sirve en el mundo de la seguridad?

Pienso que está muy buena la idea de lograr que el sentido común nos lleve a tener comportamientos seguros, y que sería un arma poderosa (pero no la única) contra los riesgos de seguridad de la información de la organización.

Pero, por lo ya mencionado, el responsable de seguridad de la organización debe crear este sentido común [6] proveyendo un conocimiento común a sus usuarios.

Y no es tan fácil como poner a una persona frente al fuego y mostrarle que si acerca la mano se va a quemar. Pero, con los medios adecuados, es posible. Es posible enseñar a una persona los riesgos a los cuales se expone, por ejemplo, en Internet. Es posible ponerla a prueba frente a escenarios reales para que vaya formando su propia experiencia en estas situaciones. Es posible que el comportamiento seguro se convierta en un hábito y en el sentido común de cada usuario.

Pero, es necesario dedicar tiempo y utilizar los medios y herramientas correctos para lograrlo, y no esperar que un usuario, por su sentido común, se convierta por sí solo en una capa fuerte de seguridad de la organización.

Fuentes

  1. https://es.wikipedia.org/wiki/Discurso_del_m%C3%A9todo
  2. http://www.librosmaravillosos.com/metodo/parte01.html
  3. https://www.psicoactiva.com/blog/el-sentido-comun-el-menos-comun-de-los-sentidos/
  4. https://www.significados.com/sentido-comun/
  5. http://deconceptos.com/ciencias-sociales/sentido-comun 
  6. http://es.wikihow.com/desarrollar-el-sentido-com%C3%BAn
Leer Más