sábado, 4 de noviembre de 2017

¿Cuánto duran las campañas de Phishing?

¿Cuánto duran las campañas de Phishing?



En mi día a día dentro del ámbito de la concientización y entrenamiento en seguridad de la información, suelo recibir preguntas relacionadas a la duración de las campañas Phishing. Esto es porque uno de los métodos más efectivos para poder medir el grado de exposición de una organización frente a este tipo de ataques es, directamente, simular el ataque mismo y ver cuál es el comportamiento de los usuarios frente a una situación de Phishing real, pero inofensiva.

¡Que caigan todos!

Y al momento de lanzar una simulación de Phishing una de las dudas más comunes que asaltan a las personas a su cargo, es cuánto tiempo durará la misma. Lo más frecuente, es que en una primera instancia las personas se inclinen por realizar simulaciones con una duración de semanas, o incluso meses. El objetivo parece ser tener el tiempo suficiente para que caigan en la trampa simulada la mayor cantidad posible de personas, pero haciendo un análisis del comportamiento de las campañas de Phishing reales, podemos ver que éste no es el mejor enfoque.
 

Atrápame si puedes

Según un reporte de Webroots, el tiempo promedio que una campaña de Phishing está activa es de 15 horas, el tiempo mínimo 15 minutos, y el máximo 44 horas. Además, el 84% de las campañas de Phishing analizadas duró menos de 24 días, por lo que podemos ver una clara tendencia: Las campañas de Phishing duran poco, y hay un motivo para ello.


Ciclo de vida de un ataque de Phishing en horas - Fuente: Webroots

En un pasado no muy lejano, un solo ataque de Phishing duraba varias semanas o meses, y se mantenía alojado en un determinado dominio propiedad del atacante. Esto, si bien parecía una buena idea, brindaba a las organizaciones el tiempo suficiente para detectar y bloquear los mensajes de correo electrónico o los sitios web que el atacante utilizaba y evitar así que sus usuarios sean víctimas. Las empresas de seguridad a su vez incluían los dominios o IPs de este tipo de ataques en sus listas negras y ese Phishing quedaba fuera de pelea.

Por este motivo, los atacantes han evolucionado (y no sólo lo hicieron en este aspecto...) y han disminuido el tiempo que sus campañas de Phishing permanecen activas en un mismo dominio, lo cual permite que sea más difícil su detección. Además, utilizan dominios legítimos, los cuales comprometen para poder cargar su contenido malicioso, haciendo que sea más difícil bloquearlos mediante listas negras. Una página en específico de determinado dominio que en este momento es segura, el próximo segundo puede ser vulnerada por un delincuente y alojar contenido de Phishing.

Volviendo a la duda principal

Teniendo en cuenta lo dicho hasta aquí y recordando que la duda más recurrente es cuánto debería durar una campaña de Phishing simulado, si queremos ser fieles con la realidad, la misma no debería extenderse por más de dos días. De esta manera, podremos obtener estadísticas que se correspondan más con lo que realmente sucede en las campañas de Phishing lanzadas por los ciberdelincuentes y no desviar las mismas con situaciones que es menos probable que ocurran.
Leer Más

miércoles, 25 de octubre de 2017

¡Ya formamos parte del programa de aceleración Cybersecurity Ventures!

¡Ya formamos parte del programa de aceleración Cybersecurity Ventures!


Hace pocas semanas, informábamos en nuestro blog que SMARTFENSE había sido seleccionada, junto a otras 35 startups, para participar de la primera fase del Programa Internacional de Aceleración “Cybersecurity Ventures”, puesto en marcha por el Instituto Nacional de Ciberseguridad (INCIBE).

Hoy, tenemos el orgullo de informar que ¡hemos sido seleccionados entre las 10 startups que formarán parte del programa de aceleración!, siendo la única empresa proveniente de un país fuera de España que ha llegado hasta esta instancia.

Una presentación en 5 minutos

La presentación de las 36 startups seleccionadas para competir por su lugar en el programa de aceleración transcurrió durante el el primer día del 11ENISE, el cual tuvo lugar el 24 de Octubre en León, España.

Por lo tanto, nuestro CEO, Mauro Graziosi, viajó desde Argentina hasta España y tuvo que resumir en menos de cinco minutos la esencia de SMARTFENSE, ya que este era el tiempo máximo reglamentario, debiendo utilizar para esto una gran capacidad de síntesis, ya que era necesario cubrir en su totalidad una lista de tópicos predefinidos.

Con todo el equipo de SMARTFENSE siguiendo en vivo la presentación desde Argentina y brindando su apoyo a través de audios y mensajes de Whatsapp, Mauro comenzó su Pitch, el cual fue digno de los aplausos recibidos, y pocos minutos después, luego de algunas preguntas, sólo restaba esperar a conocer la decisión del jurado.

Los ansiados resultados

El día siguiente, 25 de Octubre, horas antes de la redacción de este post, como cierre del evento 11ENISE se anunciaron las startups seleccionadas por el jurado, entre ellas ¡SMARTFENSE!

 

Próximos pasos

El programa de aceleración se desarrollará del 25 de octubre de 2017 al 28 de febrero de 2018. El mismo consistirá de las siguientes etapas:




Hoja de ruta individualizada: Análisis individualizado de cada proyecto y definición conjunta de una hoja de ruta que establecerá el plan de aceleración e identificará los hitos de creación de valor en la empresa.

Mentorización:
Desarrollo de la idea de negocio con un mentor que coordinará el apoyo y guía del proyecto a lo largo del programa de aceleración.

Formación:
Sesiones de trabajo y píldoras formativas orientadas a desarrollar competencias en ámbitos relativos al negocio, el ecosistema emprendedor y las competencias personales de su capital humano.

Networking con inversores y emprendedores: Sesiones y eventos con inversores de diverso perfil (Business Angels, Venture Capital, Corporate Ventures…). También se facilitará la captación de talento para el desarrollo de proyectos.

Demo day:
Jornada en la que las startups presentarán sus proyectos empresariales.

Agradecimientos

Una vez más, agradecemos a todas las personas que nos han brindado su apoyo para poder lograr este gran hito dentro de la historia de SMARTFENSE y comenzamos esta nueva etapa con todas nuestras energías enfocadas en crecer y alcanzar todos los objetivos que nos hemos propuesto dentro de este tan codiciado programa de aceleración.
Leer Más

lunes, 23 de octubre de 2017

Nuestra alianza con STOP. THINK. CONNECT.

Nuestra alianza con STOP. THINK. CONNECT.



En SMARTFENSE sumamos una nueva alianza para seguir afianzando nuestro compromiso con la concientización en seguridad de la información.

Esta vez, tenemos el orgullo de anunciar que formamos parte oficialmente de la campaña mundial de concientización STOP. THINK. CONNECT.™

Acerca de STOP. THINK. CONNECT.

Es una campaña mundial que tiene como objetivo ayudar a las personas a comprender no sólo los riesgos que conlleva el uso de Internet, sino también la importancia de practicar un comportamiento en línea seguro.

La campaña busca animar a todos los usuarios de Internet a estar más atentos mientras navegan y garantizar que la seguridad en Internet sea percibida como una responsabilidad compartida por todos, tanto en el hogar como en el lugar de trabajo y en todas nuestras comunidades. Además, se busca transformar la forma en que las organizaciones colaboran mundialmente para hacer de la ciberseguridad una realidad.

La campaña fue creada por una coalición de empresas privadas, organizaciones sin fines de lucro y organizaciones gubernamentales, liderada por la National Cyber Security Alliance (NCSA) y el Anti-Phishing Working Group (APWG).

Consejos y recomendaciones

Como primer acercamiento a esta gran iniciativa, dejamos un link en donde pueden verse una serie de consejos y recomendaciones en español relacionados con los siguientes tópicos:
  • Mantenga Limpia su Computadora
  • Proteja su Información Personal
  • Conéctese con Cuidado
  • Manténgase Informado sobre la Web
  • Sea un Buen Ciudadano Virtual
Y una serie de pósters que pueden ser descargados e impresos para colocar en cualquier lugar de su organización: https://stopthinkconnect.org/tips-advice/spanish-tips-and-advice

Seguimos adelante

El mes de la concientización es un mes muy especial para nosotros, y lo estamos demostrando a través de nuestras acciones:
¡Y el mes de octubre aún no termina!
Leer Más

viernes, 13 de octubre de 2017

Cómo desarrollar una capa de seguridad orientada al usuario [Whitepaper]

Cómo desarrollar una capa de seguridad orientada al usuario [Whitepaper]

https://smartfense.com/recursos/whitepapers/como-desarrollar-una-capa-de-seguridad-orientada-al-usuario.pdf


Mucho hemos hablado ya en este blog sobre la importancia del usuario final dentro de la estrategia de seguridad de una organización, la ausencia de soluciones mágicas en cuestiones de seguridad de la información y, por consecuencia de los dos puntos anteriores, la importancia de seguir una estrategia de seguridad en capas.

Habiendo dejado en claro todos estos conceptos, creemos que tenemos el camino llano para pasar a la práctica y comenzar a hablar sobre el desarrollo en sí de una capa de seguridad orientada al usuario. Es por esto que hemos desarrollado un Whitepaper para poder explicar en detalle todo el proceso.

Su lanzamiento coincide con la segunda semana del mes de la concientización sobre seguridad cibernética, cuya consigna es: La seguridad informática en el lugar de trabajo es cosa de todos, lo cual resulta especialmente apropiado para el tema que estamos abordando y destaca nuestro compromiso con esta iniciativa internacional.

Link al Whitepaper

Leer Más

viernes, 6 de octubre de 2017

SMARTFENSE se suma oficialmente al Mes Nacional de Concientización sobre Seguridad Cibernética

SMARTFENSE se suma oficialmente al Mes Nacional de Concientización sobre Seguridad Cibernética


En SMARTFENSE tenemos el orgullo de anunciar que formamos parte oficialmente del National Cyber Security Awareness Month (NCSAM) o Mes Nacional de Concientización sobre la Seguridad Cibernética, a través del programa de Campeones. 

En este contexto, los Campeones representan a todas aquellas organizaciones y personas dedicadas a promover una Internet más segura y confiable. Mediante esta alianza, SMARTFENSE se une a un creciente esfuerzo global entre empresas, agencias gubernamentales, colegios y universidades, asociaciones, organizaciones sin fines de lucro e individuos para promover la concientización en seguridad de la información en Internet.

Acerca de NCSAM

Coordinado y dirigido por la Alianza Nacional de Seguridad Cibernética (NCSA) y el Departamento de Seguridad Nacional de los Estados Unidos (DHS), NCSAM es un esfuerzo por brindar el conocimiento y las herramientas necesarias para que las personas puedan hacer un uso seguro de Internet que ha crecido exponencialmente desde sus inicios, llegando a los consumidores, pequeñas y medianas empresas, corporaciones, instituciones educativas y jóvenes a lo largo del mundo. 

En el mes de octubre de cada año, se lanzan globalmente miles de campañas de todo tipo destinadas a generar conciencia en temas de seguridad y privacidad en Internet. 

Cada semana del mes posee su propia consigna. A continuación mencionamos las correspondientes la edición 2017, decimocuarta edición de NCSAM:

Semana 1: Pasos simples para mantenerse seguro en línea

Abordará las principales preocupaciones del usuario de Internet, proporcionará pasos sencillos para protegerse contra estas preocupaciones y le enseñará qué hacer si es víctima de un delito cibernético.

Semana 2: La seguridad informática en el lugar de trabajo es cosa de todos

Mostrará cómo las empresas de todo tipo pueden protegerse a sí mismas, a sus empleados y a sus clientes contra las amenazas cibernéticas más comunes.

Semana 3: Predicciones actuales para la Internet del futuro

Recordará que los datos personales son el combustible del mundo moderno. Si bien hay enormes beneficios de la interconexión masiva, es fundamental comprender cómo utilizar la tecnología de vanguardia para mantener segura la información privada.

Semana 4: La Internet te necesita: pensá en seguir una carrera relacionada con la seguridad informática

Animará a estudiantes y profesionales a explorar la ciberseguridad como una profesión viable y gratificante. 

Según un estudio realizado por el Centro para la Seguridad Cibernética y la Educación, para 2022, habrá una escasez de 1,8 millones de trabajadores de la seguridad de la información.

Semana 5: Protegiendo la infraestructura crítica de los ciberataques

Examinará cómo se utiliza la seguridad cibernética para mantener a raya los riesgos que enfrentan las infraestructuras críticas. 

Responsabilidad compartida

Internet es un recurso compartido, y asegurarlo es nuestra responsabilidad compartida. Este es el tema principal del NCSAM 2017.

Actualmente, todos tenemos vidas digitales conectadas a Internet. Ya sea en nuestro lugar de trabajo, en nuestra casa, o hasta en el camino, trabajamos, aprendemos y jugamos en línea. 

Incluso cuando no estamos conectados directamente a Internet, nuestra infraestructura crítica lo está, apoyando nuestra vida cotidiana a través de transacciones financieras, sistemas de transporte, registros médicos, sistemas de respuesta a emergencias, comunicaciones personales y más.

Ninguna entidad individual, empresarial o gubernamental es única responsable de asegurar Internet. Cada uno tiene un papel en asegurar su parte del ciberespacio, incluyendo los dispositivos y las redes que utiliza. 

Las acciones individuales tienen un impacto colectivo y cuando usamos Internet con seguridad, lo hacemos más seguro para todos. Si cada uno de nosotros hace su parte - implementando prácticas de seguridad más fuertes, concientizando a la comunidad, educando a jóvenes o entrenando a empleados - juntos seremos una sociedad digital más segura.

Nuestro compromiso

En SMARTFENSE tenemos un marcado compromiso con la concientización en seguridad de la información. De hecho, es nuestra razón de ser, y estamos alineados al 100% con los objetivos globales que persigue la iniciativa NCSAM.

Es por eso que mediante esta alianza afirmamos una vez más nuestros principios, y nos comprometemos a continuar brindando recursos de calidad a la comunidad para promover la conciencia en seguridad de la información.
Leer Más

viernes, 29 de septiembre de 2017

Cybersecurity Ventures: Fase 1 superada

Cybersecurity Ventures: Fase 1 superada


Recientemente, SMARTFENSE ha sido seleccionado, junto a otros 35 proyectos, para participar de la primera fase del Programa Internacional de Aceleración “Cybersecurity Ventures”, puesto en marcha por el Instituto Nacional de Ciberseguridad (INCIBE).

Acerca del programa

Cybersecurity Ventures se creó para dar impulso a la aceleración de nuevas empresas y al desarrollo del talento emprendedor en el ámbito de la ciberseguridad. Incluye un análisis individualizado de cada proyecto y formación personalizada para cada una de las ideas de negocio. Esta formación se completará con otro tipo de sesiones, como presentaciones de casos de éxito y conferencias inspiracionales impartidas por promotores e inversores.

El programa ofrecerá un apoyo intensivo a los equipos de 10 startups seleccionadas, en forma de capacitación, mentorización y vinculación con inversores, con el objetivo de madurar los negocios para atraer inversiones.

Dentro del programa, también se llevarán a cabo sesiones de trabajo con inversores business angel, capital riesgo, corporate venturing, etc. Asimismo, se facilitarán encuentros de captación de talento para favorecer el desarrollo de sus proyectos.

Mapa de tendencias en Ciberseguridad

El programa de aceleración valorará con mayor puntuación a aquellas empresas que aborden algunos de los retos de ciberseguridad derivados de las tendencias identificadas en el documento Tendencias en el Mercado de la Ciberseguridad desarrollado por INCIBE

Dichos retos estratégicos se han resumido en la siguiente imagen, donde se destaca la formación en seguridad como uno de ellos:


También se puede ver que en los retos específicos aparece en primer lugar la concienciación en Ciberseguridad, como podemos ver en el siguiente extracto:

Generación de mecanismos de impacto de concienciación en Ciberseguridad

Plataforma que integre diferentes elementos que permitan evaluar el nivel de conciencia en términos de Ciberseguridad de una organización así como hacer un seguimiento de dicho nivel tras diversas acciones de concienciación.

La plataforma debería ser capaz de simular campañas, extremo a extremo, con los ataques más comunes enfocados hacia el usuario interno, como puede ser el phishing o malware, empleando técnicas y herramientas de ingeniería social y generando patrones de evasión contra los principales controles de seguridad con los que las compañías cuentan.

Así mismo, debe medir la efectividad de dichas campañas, proponer modelos de concienciación basados en el resultado obtenido y establecer un modelo de seguimiento que mida la evolución en términos de concienciación de la organización a través de distintas oleadas/campañas.

Sin dudas, la formación en seguridad ocupa un lugar prioritario entre los retos identificados, y ha sido un factor determinante a la hora de la elección de SMARTFENSE como participante del programa.

Próximos pasos

SMARTFENSE se encuentra ahora en fase de valoración sobre papel, junto con otras 35 startups. A partir de esta valoración, seguirá una entrevista con nuestro CEO el día 10 de octubre. Las 15 mejores tendrán la oportunidad de participar presencialmente en un exposición pública en el encuentro 11ENISE, que se celebrará en León los días 24 y 25 de octubre de 2017, donde se presentará a los 10 proyectos de startups que pasan al programa de aceleración, más los 5 siguientes que serán mantenidos en reserva.

Agradecimientos

Desde SMARTFENSE agradecemos a todas las personas que nos han brindado su apoyo tanto cuando la inscripción al programa sólo era una idea, como ahora que se ha convertido en una realidad, con sus tuits de felicitaciones y su fe en nuestra empresa.
Leer Más

lunes, 18 de septiembre de 2017

Monitoreo + Concientización = Expectativa de Privacidad

Monitoreo + Concientización = Expectativa de Privacidad


Para comenzar con este post, me parece apropiado tomar una definición muy interesante y clara del libro CISSP All-in-One Exam Guide:

El concepto de privacidad es diferente al de seguridad. Privacidad es la habilidad de un individuo o grupo de controlar quién tiene cierto tipo de información sobre ellos. Es un derecho individual que permite determinar qué datos tendrá otra persona sobre uno mismo, quién tendrá permitido conocer esos datos y cuándo esas personas pueden accederlos. La seguridad se utiliza para hacer cumplir estos derechos de privacidad.
La privacidad es un tema realmente amplio y un sólo post no alcanzaría nunca para poder abarcarlo por completo. Es por eso que el presente se acotará sólo a la privacidad puertas adentro de las organizaciones, en específico a aquella que cada empleado espera tener respecto al monitoreo de sus actividades dentro de la organización y a la importancia que tiene esta expectativa en el marco legal.
 

El monitoreo de usuarios

Uno de los principales problemas que aqueja a las organizaciones en cuanto a la privacidad de sus empleados tiene que ver con el monitoreo de los mismos. Éste sucede por ejemplo cuando se realizan escuchas en llamadas telefónicas, se graban videos de seguridad o se guarda un registro del historial de navegación de los empleados.

El objetivo de una organización al llevar adelante este tipo de acciones pueden tener que ver con aumentar el rendimiento de los empleados, mejorar la satisfacción de los clientes, disuadir a los empleados de realizar acciones que están prohibidas, etc.

Antes de comenzar a monitorear la actividad de sus empleados, una organización deberá investigar exactamente qué puede y no monitorear antes de hacerlo según las leyes de privacidad que rijan en su país.

Por otro lado, debe aclararse que el monitoreo debe estar siempre relacionado al trabajo. Si un gerente tiene el derecho de escuchar las conversaciones de sus subordinados con sus proveedores, no significa que tenga también el derecho de escuchar conversaciones personales que no están relacionadas con el trabajo. El monitoreo a su vez debe ser realizado en forma consistente, de manera que todos los empleados estén sujetos al mismo monitoreo, no sólo una o dos personas.

La expectativa de privacidad

Quizá pueda parecer que con lo presentado hasta el momento cualquier organización puede comenzar sin problemas sus procesos de monitoreo. En realidad, podrán comenzar a hacerlo (muchas lo hacen), pero no sin problemas.

Falta tener en cuenta al actor principal de esta historia: la persona que va a ser monitoreada.

En pocas palabras, la organización debe concientizar a sus empleados para que sepan qué tipo de monitoreo puede ocurrir durante su trabajo. Esta es la mejor manera para una organización de protegerse legalmente, si es necesario, y evitar a su vez dar sorpresas a sus empleados.

Si una organización cree que es necesario monitorear los correos de sus empleados, esto debe ser explicado a los mismos, primero, a través de una política de seguridad, y luego a través de un recordatorio constante, como por ejemplo un newsletter o entrenamiento regular.

De la misma manera, cada persona no sólo debe saber a qué tipo de monitoreo puede estar sujeta, sino que también debe conocer exactamente cuáles son considerados comportamientos aceptables y cuáles son las consecuencias de no cumpir dichos comportamientos. Esto, además de ayudar legalmente a la organización puede disminuir los niveles de estrés, desconfianza e insatisfacción que el monitoreo puede causar a los empleados.

Por último, la organización deberá poseer un registro que respalde las acciones de concientización que ha realizado concernientes a este tema, que pueda ser tratado como un documento legalmente admisible. Este tipo de registro o documento que avale dicha concientización se conoce como renuncia a la expectativa razonable de privacidad, o (REP por sus siglas en inglés: reasonable expectation of privacy)

Si esto no sucede, cuando el monitoreo tome lugar, los empleados podrán reclamar que sus derechos de privacidad han sido violados y lanzar una demanda civil contra la organización.
 

Conclusión

En este artículo pudimos ver cómo la concientización y el entrenamiento van más allá de la creación de hábitos seguros para los usuarios, sirviendo en este caso como un instrumento indispensable a la hora de tratar con la expectativa de privacidad de cada una de las personas dentro de una organización.
Leer Más

martes, 5 de septiembre de 2017

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

El pasado 31 de agosto y 1 de septiembre, tuvo lugar el VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes, del cual SMARTFENSE fue Sponsor exclusivo.

pieza3agosto.png

Acerca del evento

El objetivo del evento ha sido brindar una actualización sobre los temas que se enumeran a continuación, de la mano de reconocidos especialistas del rubro:
  • Análisis de los casos de Ransomware. Estrategias a implementar
  • Plan de Continuidad del Negocio como acción mitigante del riesgo
  • Políticas de seguridad implementadas en Cloud Computing
  • Evolución del Phishing como Amenaza Persistente Avanzada
  • Cómo comunicar a otras áreas de la organización para prevenir los ciberdelitos
  • Mecanismos de protección ante grandes volúmenes de datos
  • Blockchain: cómo resguarda y cuáles son los potenciales casos de uso
  • Firma Digital: Beneficios e implementación.
  • Cómo gestionar los distintos eventos y proteger la información de una manera efectiva

WhatsApp Image 2017-08-31 at 23.41.51.jpeg

Usuarios: el tema principal

En su mayor parte, el evento giró en torno a la importancia del usuario para la seguridad de la información de las organizaciones.

Por un lado, se dejó claro que el mayor porcentaje de incidentes de seguridad de la información tienen como puerta de entrada al usuario. Uno de los datos más impactantes fue que el 91% de los problemas de seguridad comienzan con un ataque de Phishing, y tanto éste como el Malware se encuentran en los primeros puestos de las principales preocupaciones de las organizaciones en materia de seguridad.

Por otro lado, se remarcó, en base a lo mencionado en el párrafo anterior, la importancia de incluir al usuario en la estrategia de seguridad de la organización como una nueva e importante capa de seguridad para la misma.

De hecho, la Concientización fue nombrada por la audiencia como la primera medida a tomar en el caso de encarar la seguridad de la información dentro de una organización, lo cual da cuenta de que los responsables de seguridad poco a poco van tomando consciencia de la problemática que enfrentan al tener usuarios con hábitos inseguros, realidad que ya ha sido asumida en países del primer mundo hace tiempo.

DSC_0476.JPG

Entrega de premios

Además de apoyar económicamente el evento, desde SMARTFENSE hemos ayudado en la difusión del mismo, tanto previamente como en el transcurso del mismo, a la vez que entregamos material sobre nuestra plataforma, contribuimos en la evangelización acerca de la importancia del usuario final, y realizamos un pequeño desafío en el segundo día del evento, cuyos ganadores fueron premiados.


Leer Más

martes, 22 de agosto de 2017

Malware y Ransomware: ¿Cuál es la diferencia?

Malware y Ransomware: ¿Cuál es la diferencia?


Traducción del artículo original de VPN Mentor, que llega a nuestro blog en el marco de colaboración del proyecto NoMoreRansom!

El Ransomware es un nuevo tipo de Malware que ha puesto en práctica rápidamente sus capacidades y peligros, tras 638 millones de ataques ransomware en 2016, lo que equivale a más de 167 veces el número de ataques en 2015. 
Luego de que varias organizaciones y usuarios domésticos hayan sido víctimas de varios ataques cibernéticos, existe cierta confusión entre los términos de Malware y Ransomware.


¿Qué es un Malware?

El Malware es un término que designa al "software malicioso". Está especialmente diseñado para obtener acceso al ordenador del usuario. Puede rastrear los sitios que el usuario visita y provocar acciones que éste puede ignorar por completo. El Malware suele tomar forma de keyloggers, virus, gusanos o spyware y se puede utilizar para robar información confidencial o difundir correo no deseado por correo electrónico. Sin embargo, hoy en día, estos softwares engañosos por lo general se utilizan para generar una pila de ingresos a través de publicidad integrada.

Recientemente, un Malware, difundido por un comerciante digital chino que trabajaba para Rafotech, convirtió más de 250 millones de navegadores web en todo el mundo en motores de generación de ingresos por publicidad. Casi el 20 % de las redes corporativas se vieron afectadas por este Malware. Posteriormente, se descubrió que la mayor parte de la propagación del mismo se debió a la agrupación. El malware se instaló sin el permiso del usuario junto con algunos programas deseados como Deal Wifi, Mustang Browser, Soso Desktop y FVP Imageviewer.

Apenas una semana antes de este suceso, un Malware conocido como Judy infectó 36,5 millones de dispositivos Android. Este Malware se encontró en 41 aplicaciones, todas ellas desarrolladas por una empresa coreana, Kiniwini, que recurría a la misma estrategia de producir clics falsos en anuncios para generar ingresos a través de medios engañosos. La mayoría de las aplicaciones dañinas se encontraban en la tienda oficial de Google Play, lo cual suscita serias dudas sobre la seguridad de Android.

Además, hace poco, se detectó un Malware descontrolado conocido como Crash Override que provocó un corte de energía en la capital de Ucrania, Kiev. Es el primero que ha atacado una red eléctrica, lo que nos da una pista de las desastrosas consecuencias que podrían tener los programas maliciosos.


¿Qué es un Ransomware?

Un Ransomware es básicamente un tipo de malware que bloquea el ordenador y prohíbe acceder al mismo hasta que se pague un rescate exigido, que suele solicitarse en forma de Bitcoins. Hoy en día, en lugar de bloquear el teclado o el ordenador del usuario, se cifra cada archivo con una clave privada que sólo conocen los autores del Ransomware. Sin embargo, no se garantiza que al pagar el rescate se desbloquee el ordenador.

En mayo de 2017, un ataque cibernético a gran escala generado por el Ransomware Wannacry infectó más de 300000 ordenadores en 150 países. Sólo equipos con sistema operativo Windows se vieron afectados.

Otro Ransomware, conocido como Petya, ha interrumpido el funcionamiento de varias empresas de Europa, Oriente Medio y Estados Unidos.

Recientemente, se ha descubierto que Petya no es un Ransomware, sino un "malware Wiper" letal para el ordenador. Los investigadores han hallado que Petya está diseñado para parecer un Ransomware. Su estructura no tiene ningún esquema de recuperación de información en absoluto. Tras reiniciar el ordenador de la víctima, Petya cifra la tabla de archivos maestros (MFT) del disco duro y ocasiona fallos en el registro de arranque maestro (MBR). El código encriptado se reemplaza por su propio código malicioso, lo que le prohíbe arrancar su equipo y, a continuación, una pantalla muestra una nota de rescate. Sin embargo, la nueva variante de Petya no conserva ninguna copia del MBR reemplazado. Por tanto, aunque la víctima reciba la clave de descifrado, no puede arrancar su dispositivo informático.


¿Cómo se difunden el Malware y el Ransomware?

La mayor parte de la propagación del Malware se produce por correos electrónicos con enlaces que afirman tener cierta información que los usuarios con pocos conocimientos informáticos pueden encontrar interesante. Una vez que el usuario hace clic en dicho enlace, se le redirige a un sitio web falso que parece real. A continuación, para acceder a la información o al programa requerido, se solicita al usuario que descargue un software. Si el usuario descarga ese software, su ordenador se infecta. Entre las principales fuentes de ataques cibernéticos se encuentran los sitios web y las ventanas emergentes que afirman ofrecer contenidos gratuitos, como música o películas gratis.

Estas brechas de seguridad permiten a los estafadores rastrear su comportamiento en el ordenador y robar credenciales personales. Esta información se puede utilizar para diversas actividades delictivas y las consecuencias pueden ser importantes.


¿Cómo protegerse contra ataques de malware con una VPN?

Si bien realizar copias de seguridad de sus datos periódicamente es el paso más eficaz e importante para proteger su dispositivo contra Malware y Ransomware, usar una VPN también puede aumentar la seguridad de su sistema.

Una VPN le permite acceder a la web de manera anónima, lo cual dificulta la tarea de rastrear su ordenador a los atacantes.

Muchas VPN de alto nivel proporcionan una advertencia de seguridad a los usuarios cuando intentan acceder a URL sospechosas.

Además, con una VPN, se cifran todos los datos que se comparten en línea, de manera que quedan fuera del alcance de los autores de malware.
¿Busca una VPN para proteger su ordenador contra amenazas cibernéticas? Eche un vistazo a nuestras VPN más recomendadas.
Leer Más

viernes, 18 de agosto de 2017

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño

El Arte de Engañar al Usuario - Parte 6: Los artistas del engaño


EN ESTA SEXTA Y ÚLTIMA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” CONOCEREMOS ALGUNOS PERSONAJES MUY FAMOSOS DENTRO DEL ÁMBITO DE LA INGENIERÍA SOCIAL Y EXPLORAREMOS ALGUNOS DE SUS MÁS CONOCIDOS ENGAÑOS.

Introducción

Mucho antes que se popularice el término de Ingeniería Social, existieron varios “Artistas del Engaño” los cuales, quizás sin saberlo, aplicaban muchas de las técnicas que hemos visto a lo largo de esta serie, llegando a cometer delitos increíbles.

A continuación se detallan los más resonantes.

Victor “El Conde” Lustig

Nacido en República Checa en 1890, fue un experto del engaño y según comentan los que lo conocieron era muy agradable y culto (perfil ideal para un Ingeniero Social).

Lusting eligió a París para realizar una de sus grandes e increíbles estafas: “La venta de la Torre Eiffel”, sí aunque parezca mentira este experto del engaño logró “vender la Torre Eiffel” con éxito y no contento con esto, ¡casi la vendió dos veces!.

Todo sucedió en 1925 cuando Lusting vió en un diario un artículo que indicaba lo costoso que se le estaba haciendo a la ciudad de París el mantener la Torre Eiffel, por lo que pronto se estaría convirtiendo en una torre de chatarra. Así fue que se le ocurrió un plan descabellado: ¡Vender la Torre como chatarra!.

Su primer acción fue contratar a un falsificador para que elaborara papeles “oficiales” del gobierno, para luego invitar a 6 comerciantes de chatarra a una reunión de negocios “confidencial” en un hotel muy lujoso de la ciudad. Lustig se presentó como el subdirector general del Ministerio de Correos y Telégrafos, explicándoles a los empresarios que habían sido cuidadosamente seleccionados por ser un grupo de empresarios honestos (una típica acción utilizada en Ingeniería Social). Inmediatamente, vino “la gran propuesta”: les explicó que la ciudad estaba teniendo serios problemas en mantener la torre por lo cual tendrían que venderla como chatarra y pidió a los empresarios que mantuvieran en secreto este tema ya que sería un gran escándalo darlo a conocer públicamente, afirmando también que él era el encargado designado por el gobierno para seleccionar al comprador.

Luego para darle más veracidad a sus acciones (continúa la Ingeniería Social), Lusting contrató una Limusina y llevó a los empresarios a un recorrido de inspección en la Torre, indicando a los mismos que la licitación se realizaría al día siguiente. Sin perder tiempo aprovechó durante el viaje para estudiar y seleccionar a su víctima dentro de los 6 empresarios, siendo el elegido el distribuidor André Poisson, ya que lo había estudiado cuidadosamente y podría ser una presa fácil.

Poisson le comentó a su mujer y ella desconfió inmediatamente. Sabiendo lo sucedido, Lusting convocó a una nueva reunión donde “confesó” que un ministro de gobierno no ganaba lo suficiente como para mantener un estilo de vida bueno. Ésto le sirvió para hacer aún más confidencial el asunto y además recibir un “incentivo” por fuera del monto “oficial”. Así fue que Poisson realizó su oferta mas el soborno, Lusting dio por ganada la licitación a Poisson e inmediatamente escapó con una gran suma de dinero junto a su secretario (otro estafador) rumbo a Viena.

Aunque parezca increíble no pasó nada ya que Poisson estaba muy avergonzado de lo sucedido y no quería dar a conocer la estafa que le habían realizado. Más increíble es que a un mes de la estafa Lusting volvió a París y seleccionó 6 empresarios nuevos para cometer la misma estafa, pero esta vez no tuvo la misma suerte ya que la víctima elegida en este caso acudió a la Policía a realizar la denuncia. Así y todo Lusting pudo escapar y evitar el arresto.

Más información:
https://es.wikipedia.org/wiki/Victor_Lustig
 

Carlo Ponzi

Este Italiano nacido en 1882 que emigró a Estados Unidos en 1903 fue un famoso delincuente especializado en estafas. Dentro de las más famosas está la conocida hoy como "esquema Ponzi" (referenciada en varios libros de economía, similar al esquema piramidal). Básicamente se trataba de conseguir inversores a los cuales se les proponía un 50% de intereses dentro de los 45 días posteriores a su inversión y de un 100% al cabo de 90 días.

Aprovechándose de la avaricia, descuido y grandes cantidades de inversores que querían invertir en este “espectacular” negocio, Ponzi logró hacerse de millones. Si bien cumplía con lo prometido (“en principio”, ya que era cuestión de tiempo el no poder cumplir con todos), la confianza comenzó a terminarse cuando un analista financiero llamado Clarence Barron publicó un informe por encargo del Boston Post, en el cual aseguraba que Charles Ponzi no invertiría nada en su empresa y sería imposible poder cumplir con todos los inversionistas.

A partir de este hecho todo se torno un caos teniendo una multitud de inversionistas furiosos en sus oficinas. El 1 de noviembre de 1920, Carlo Ponzi fue declarado culpable de fraude y se lo condenó a cinco años de prisión, tres años más tarde salió en libertad y luego lo condenaron a nueve años más.

Luego de algunos intentos de huir, otros fraudes y hasta cambios de look para no ser reconocido, Charles Ponzi murió en un hospital de Río de Janeiro en la miseria total.

Más información:
https://es.wikipedia.org/wiki/Carlo_Ponzi

Frank Abagnale Jr


Nacido en 1948 en Bronxville, Estados Unidos, este “ex” estafador dirige hoy en día la empresa financiera Abagnale and Associates. Sus estafas y engaños fueron tan increíbles en la década del 60 que hasta el mismísimo Steven Spielberg dirigió una película basada en su vida (Atrápame si puedes).

Uno de sus primeros engaños tuvo como víctima a su propio padre, quien le había regalado un auto usado y al cual convenció que le prestara su tarjeta de crédito para comprar unos repuestos que necesitaba para arreglar algunos desperfectos en el mismo. Así fue como su padre accedió, Frank compro los repuestos (que no necesitaba) y luego se los vendió por un menor precio a un taller, haciéndose así rápidamente de efectivo.

Más tarde ya queriendo entrar en “las grandes ligas” comenzó a realizar estafas bancarias, tomó personalidades falsas y hasta incluso ejerció como abogado, piloto de Pan Am (viajando gratis por mucho tiempo) y médico. Ejerciendo ilegalmente esta última profesión tuvo un buen susto ya que un día puso en juego la vida de un bebé y fue ahí cuando decidió no “ejercer” más.

Fue perseguido un buen tiempo por el agente Joseph Shea del FBI del cual pudo escaparse muchas veces (en la película se puede apreciar claramente), pero finalmente el agente pudo capturarlo en Francia. Así y todo antes de cumplir 20 años Frank Abagnale Jr había cometido fraudes por un valor aproximado a 2,5 millones de dólares.

Si bien había cometido fraudes en muchos países, los cuales estaban ansiosos de tenerlo tras las rejas Abagnale estuvo preso en Francia, Suecia y por último, cerca de 5 años en Estados Unidos. El mismo poseía un gran número de cargos como: suplantación de identidad, fraude, falsificación documental, ejercicio ilegal de profesiones robo de bancos, etc.

Tal como reza con el viejo dicho: “Si No puedes contra tu enemigo únete a él”. El gobierno norteamericano le ofreció reducir su condena y salir antes de prisión siempre y cuando los ayudara contra la lucha del fraude (¡que mejor que este experto en fraudes para ello!).

Hoy en día es millonario, escribió varios libros y fue quien diseñó muchos de los cheques antirrobo que se usan actualmente en todo el mundo.

Más información:
https://es.wikipedia.org/wiki/Frank_Abagnale_Jr.

Kevin Mitnick

Nacido en Los Ángeles – Estados Unidos, en 1963 fue quien impulsó e hizo conocido el concepto de Ingeniería Social dentro del mundo IT. Su historia comienza desde muy chico. Ya a los 16 años de edad rompió la seguridad en el sistema administrativo de su colegio, pero no para modificar sus notas sino solo para curiosear y divertirse.

Su primer infracción a la Ley fue en 1981, al entrar físicamente en las oficinas de la empresa COSMOS (Computer System for Mainframe Operations) perteneciente a Pacific Bell. Allí junto a dos amigos robaron información muy valiosa de la empresa valuada en 200.000 Dólares. Inmediatamente fueron delatados por la novia de uno de los amigos y tiempo después sentenciados a 3 meses de prisión y 1 año de libertad condicional, la cual cumplieron en tiempo y forma pero al tener ese espíritu inquieto Kevin siguió haciendo de las suyas. Hasta incluso con el oficial asignado como custodia, quien se dio cuenta que su teléfono había sido dado de baja y que la compañía telefónica no tenía ningún registro de lo sucedido.

A medida que pasaba el tiempo sus objetivos iban creciendo, y fue así que entró ilegalmente a computadoras del comando de defensa Aéreo de Norteamérica, ARPAnet (predecesora de internet), Microcorp Systems y hasta intentó ingresar a la red del Pentágono.

No todo en su vida fue la ilegalidad, un día intentó conseguir trabajo en el Security Pacific Bank como encargado de la seguridad del banco (quien mejor que él), pero el banco al ver sus antecedentes rechazó su solicitud de inmediato. Mitnick no contento con esto procedió a falsificar un balance del banco mostrando pérdidas por 400 millones e intentó hacerlo público.

Una de las acciones que lo lanzó a la fama fue el tener acceso secreto durante varios meses al correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation. Ésto lo realizó para conocer cómo estaban protegidos sus equipos y sus sistemas telefónicos. Luego de una ardua recolección de información Mitnick pudo hacerse de 16 códigos de seguridad de MCI, para luego intentar entrar junto a un amigo a la red del laboratorio de investigaciones de Digital Corporation conocida como Easynet. Su objetivo final era el poder hacerse de un nuevo prototipo del sistema operativo de seguridad de Digital llamado VMS. Personal del laboratorio advirtieron del ataque al FBI e inmediatamente comenzó su rastreo. Mitnick fue arrestado en 1988 por invadir y causar daños por 4 millones de dólares a la empresa, siendo culpable por los cargos de fraude y posesión ilegal de códigos de acceso de larga distancia.

Fue tal la fama que ganó Mitnick que adicionalmente a la sentencia el fiscal solicitó una orden a la corte para que le prohibiera acceder a cualquier teléfono, ya que con el sólo hecho de hacerlo podría causar daños inimaginables.

Mitnick consiguió de alguna manera que su abogado también usara Ingeniería Social, ya que la táctica que presentó para reducir su condena fue alegar que su defendido sufría de adicción a las computadoras, similar a cualquier otra adicción como a las drogas por ejemplo. Así fue que la condena se redujo notablemente solo a un año de prisión y luego 6 meses de tratamiento para poder tratar su “adicción”, durante el cual tenía prohibido acercarse a una computadora.

Ya para 1991 Mitnick había adquirido una gran fama y hasta llegó a ocupar las primeras planas en diarios muy importantes como el New York Times. En 1992 luego de terminar su tratamiento comenzó a trabajar en una agencia de detectives, pero no duró mucho tiempo hasta que hiciera de las suyas nuevamente y violará los términos de su libertad condicional al descubrirse el uso ilegal con bases de datos. Fue así que allanaron su casa pero para ese entonces Mitnick se había ido y desde allí fue cuando comenzó su vida como prófugo.

Ese mismo año se dió a conocer una recompensa por su captura en la cual se pagaría un millón de dólares por parte del Departamento de Vehículos de California, ya que se lo acusaba de haber tratado de obtener una licencia de conducir de manera fraudulenta, utilizando para ello un código de acceso y el envío de un fax.

Ya con su “nueva vida” como prófugo Mitnick busco la mejor forma de poder seguir haciendo de las suyas sin ser rastreado y fue allí que se le ocurrió comenzar a utilizar teléfonos móviles para poder moverse de un lugar a otro sin tener que permanecer estático por un determinado tiempo al utilizar como hasta ese momento teléfonos fijos. Para poder hacer esto necesitaba tener acceso a sistemas similares a los que hasta ese momento había utilizado, pero esta vez en teléfonos móviles.

Fue así que después de muchos intentos dió con la computadora de Tsutomu Shimomura, en la cual ingresó a fines del año 1994 y robó gran parte del software que él mismo poseía. Shimomura era un físico computacional y experto en sistemas de seguridad del San Diego Supercomputer Center, como se puede apreciar no era una víctima “fácil” como las anteriores, tal es así que aquí comenzaba el principio del fin.

Tiempo después de la intrusión Shimomura se dió cuenta que alguien había ingresado en su computadora utilizando para ello técnicas muy complejas que él desconocía. Fue así que se propuso atrapar a quien había osado entrar en su computadora, prevaleciendo el orgullo ante todo.

Para fines de Enero de 1995 el software de Shimomura fue hallado en una cuenta de un proveedor de internet en California. Al parecer el objetivo era lanzar ataques a varias empresas, entre ellas Motorola, Apple y Qualcomm.

Shimomura se reunió con la empresa proveedora de internet y con un técnico de la compañía de telefonía celular, pudiendo llegar a la conclusión de que Mitnick había creado un número de móvil falso para acceder al sistema. Luego de un par de semanas pudieron comprobar que las llamadas provenían de Raleigh, California. Shimomura se comunicó inmediatamente con el FBI y estos comenzaron un rastreo sofisticado para poder dar con el celular de Mitnick.

Tal como pasa en las películas, montaron los dispositivos de rastreos en una furgoneta y comenzaron con el operativo para poder dar con el paradero de Mitnick a través del rastreo de su celular. Días después logran dar con su paradero y el 15 de Febrero se acercaron sigilosamente hasta la entrada del departamento, anunciaron su presencia e ingresaron rápidamente, decomisando todo el material que este poseía (discos, teléfonos, computadoras, etc).

Algo muy curioso que sucedió luego del arresto fueron varios mensajes de voz que recibió Shimomura en su contestador, los mismos fueron efectuados por Mitnick 8 horas después de su arresto, en los cuales podía apreciarse un tono de burla con acento oriental.

Hoy en día Kevin Mitnick es uno de los Hackers más reconocidos en el mundo entero, pasa gran parte de su tiempo dando conferencias por distintos países y cuenta con su propia empresa de seguridad llamada: Mitnick Security, en la cual pone énfasis en la concientización como base para protegerse de ataques informáticos.

Más información:
https://es.wikipedia.org/wiki/Kevin_Mitnick

Sobre esta serie

Este ha sido el último post de la serie "El arte de engañar al usuario".

Esperamos que haya disfrutado de la misma y que haya servido tanto para ampliar sus conocimientos en cuanto a la Ingeniería Social como así también para tomar consciencia acerca de los riesgos que ésta implica, tanto en el ámbito personal como organizacional.
Leer Más

viernes, 11 de agosto de 2017

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección



EN ESTA QUINTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LAS MEDIDAS DE PROTECCIÓN QUE PUEDEN TOMAR LAS ORGANIZACIONES PARA COMBATIR LA AMENAZA DE LA INGENIERÍA SOCIAL.

Cómo protegernos

Como ya se mencionó en este artículo, la mejor manera de encarar una estrategia de seguridad es hacerlo a través de diferentes capas de protección, ya que no existe una única solución que mágicamente mitigue todos los riesgos de seguridad de la información.

Debido a que la Ingeniería Social apunta directamente al factor humano, la medida más efectiva para protegerse de estos ataques será definir, implementar y mantener una capa de seguridad orientada a las personas dentro de nuestra organización.

¿Con esta capa de seguridad estamos cubiertos?

La seguridad al 100% no existe. Es imposible disminuir todos los riesgos de seguridad a cero, y menos aún hacerlo con una única capa de seguridad. Dicho esto, Incluir a los usuarios en la estrategia de seguridad de nuestra organización significa desarrollar una capa muy importante de seguridad, que, dependiendo de algunos factores, será más o menos efectiva. Estos factores son:

  • El compromiso de la alta gerencia para implementar y mantener esta capa
  • Los recursos con los que contemos para hacerlo (principalmente el presupuesto)
  • La efectividad de los controles que llevemos a cabo

Cuanto mayores sean dichos ítems, más podremos disminuir el riesgo de un ataque de Ingeniería Social y, por lo tanto, mayor será nuestro nivel de seguridad. No alcanzaremos el 100% de seguridad, pero podremos estar tan cerca como los mencionados factores nos lo permitan.
 

Hardening de Usuarios

Para definir, implementar y mantener nuestra capa de seguridad orientada a las personas, deberemos tener en cuenta los siguientes aspectos:

Por un lado, necesitaremos llevar adelante un plan de Capacitación y Concientización en Seguridad de la Información, orientado al cambio de comportamiento y con contenidos originales y atractivos para los usuarios.

Por el otro, tendremos que incluir evaluaciones capaces de medir el cambio de comportamiento de nuestros usuarios. La manera de lograr esto es mediante simulaciones de trampas de Ingeniería Social, que pongan a prueba no sólo los conocimientos de cada usuario, sino también sus hábitos, que son lo que realmente cuenta.

De esta manera, podremos saber si nuestras acciones van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc. Además, contaremos con las métricas necesarias para poder realizar reportes ejecutivos a la alta gerencia, justificar nuestra inversión, ayudar al cumplimiento de normativas, entre otras cosas.

Además, todas estas acciones deberían ser parte de un proceso de mejora continua, siempre actualizado, y aplicado a todos los usuarios de nuestra organización.

Nota: Si estás pensando que desarrollar esta capa de seguridad es un trabajo grande, estás en lo cierto. La buena noticia, es que existen herramientas que pueden ayudarte a hacerlo con el mínimo esfuerzo y los mejores resultados.

Los controles tecnológicos

Muchas veces, con el objetivo de combatir la Ingeniería Social, las organizaciones implementan controles tecnológicos como Antivirus, Anti-Spam, DLP, etc. Poseer dichos controles puede ser una buena idea (siempre según las necesidades de cada organización) pero confiar 100% en ellos para detener un ataque de Ingeniería Social no lo es.

Los Ingenieros Sociales demuestran diariamente (y esto puede verse ingresando a cualquier portal de noticias sobre seguridad informática) cómo saltan virtualmente cualquier barrera de seguridad tecnológica con sus engaños. Por eso, volvemos a la seguridad en capas. Conservemos los controles tecnológicos, pero no olvidemos definir, implementar y mantener nuestra capa de seguridad orientada a nuestros usuarios.

Conclusiones

Los Ingenieros Sociales están continuamente actualizando sus técnicas para mantener la efectividad de sus ataques. El juego nunca termina, y cada vez que se desarrolla una solución tecnológica contra un Ingeniero Social, éste encuentra la manera de sortearla.

Es por eso que la mejor decisión en este caso es enfocar nuestros recursos hacia las personas y llevar adelante un proceso de Hardening de todos nuestros usuarios. Y no sólo lograremos disminuir el riesgo de que nuestros usuarios sean manipulados por un Ingeniero Social, sino que un Plan de Concientización bien implementado tendrá muchas ventajas extras, como la mejora de la imagen del área de seguridad en toda la organización, el cumplimiento de normativas internas y externas, apoyo legal contra litigios, mejora de la autoestima de nuestros usuarios, y un largo etcétera.

Sobre esta serie

Este es el quinto y penúltimo de una serie de posts sobre la Ingeniería Social. Sólo resta el último post, el cual estará dedicado a reconocidos personajes de la Ingeniería Social, para conocer algunos datos curiosos y anécdotas sobre ellos.
Leer Más

martes, 25 de julio de 2017

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

  

No More Ransom celebra su primer año, con más de 28.000 dispositivos descifrados y más de 100 Partners alrededor del mundo

Hace un año, el 25 de julio de 2016, la iniciativa No More Ransom fue lanzada por la Policía Nacional Holandesa, Europol, McAfee y Kaspersky Lab. Al día de hoy, ya son más de 100 los Partners que se han unido a ella, mientras los principales ataques de ransomware continúan dominando las noticias y golpeando a empresas, gobiernos e individuos de todo el mundo.


La amenaza del ransomware está aumentando

El Ransomware se ha disparado desde 2012, con los criminales atraídos por la promesa de beneficios económicos y facilidad de implementación. La amenaza continúa evolucionando, volviéndose más furtiva y más destructiva, y está dirigiéndose cada vez más a las empresas por sobre las personas particulares, porque los retornos potenciales son mucho más altos.

El ataque indiscriminado de WannaCry a mediados de mayo causó más de 300.000 víctimas comerciales en 150 países en sus primeros días, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están luchando para recuperarse de los ataques de ExPetya del 27 de junio.

El número total de usuarios que se enfrentaron a un Ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores, de 2.315.931 a 2.581.026 usuarios de todo el mundo. Las estadísticas indican que estamos en presencia de la epidemia mundial de Ransomware.


El primer año de No More Ransom en números

El sitio cuenta actualmente con 54 herramientas de descifrado, proporcionadas por 9 Partners, que cubren 104 tipos (familias) de Ransomware. Hasta el momento, estas herramientas han conseguido descifrar más de 28.000 dispositivos, privando a los cibercriminales de unos 8 millones de euros en rescates.

El portal ha contado con más de 1,3 millones de visitantes únicos. El 14 de mayo, durante la crisis de WannaCry, 150.000 personas visitaron el sitio web.

La plataforma No More Ransom ya está disponible en 26 idiomas, con las adiciones más recientes: búlgaro, chino, checo, griego, húngaro, indonesio, malayo, noruego, rumano, sueco, tamil y tailandés.


Más de 100 Partners: Sin fronteras entre privados, públicos o competidores

No More Ransom cuenta ahora con 109 Partners. Las últimas incorporaciones incluyen, desde el sector privado: Abelssoft, Ascora GmbH, Barclays, Bitsight, Universidad de Bournemouth, CERT.BE, Claranet, CERT PSE, Agencia de Seguridad Cibernética de Singapur (CSA), ESTSecurity, Fortinet, Global Forum (GFCE), InterWorks, IPA (Agencia de Promoción de la Tecnología de la Información, Japón), KISA (Korea Internet & Security Agency), Munich RE, TWCERT / CC, LLC, Universidad de Porto y vpnMentor.

Se han unido también cuatro agencias policiales, provenientes de República Checa, Grecia, Hong Kong e Irán.

El éxito de la iniciativa No More Ransom es un éxito compartido, que no puede lograrse solo por las agencias policiales ni por la industria privada. Al unir fuerzas, mejoramos nuestra capacidad para enfrentar a los criminales y poder detenerlos en su intento de dañar a personas, negocios e infraestructura crítica, de una vez por todas.


No hay mejor cura que la prevención

A pesar de todo esto, no hay mejor cura que la prevención. Los usuarios de Internet deben evitar ser víctimas, y para eso deben conocer qué es el Ransomware y ser conscientes de las consecuencias que puede tener una infección de este tipo tanto para la organización en la cual trabajan como en sus propios hogares.

Además, deben conocer las vías comunes de infección del Ransomware, y lo más importante de todo, desarrollar hábitos y conductas seguras que sirvan como barrera para evitar este tipo de infecciones. Esto es así ya que los delincuentes suelen apuntar a las personas a la hora de buscar un factor a vulnerar con el objetivo de instalar un Ransomware. La mejor forma de alcanzar todo este conocimiento y hábitos seguros para los usuarios dentro de una organización es mediante un plan de Concientización o Awareness.

Nuestro compromiso continúa

Desde SMARTFENSE continuamos profundamente comprometidos en la lucha contra el Ransomware y seguiremos, junto con todos nuestros aliados en No More Ransom, dando pelea día a día contra esta gran amenaza.
Leer Más

viernes, 21 de julio de 2017

El cambio de comportamiento y una (de muchas) técnica para lograrlo

El cambio de comportamiento y una (de muchas) técnica para lograrlo


Sobre el cambio de comportamiento

Muchas veces escuchamos hablar sobre “Concientizar a los usuarios”, pero, ¿Qué es realmente?

Mucho se ha hablado ya acerca de que los usuarios son el eslabón más débil de una organización. Esto es así cuando dichos usuarios no han pasado por un correcto proceso de concientización. Concientizar significa incluir a los usuarios de una organización en la estrategia de seguridad de la misma, y lograr un cambio de comportamiento en ellos, mediante el desarrollo de hábitos seguros. De esta manera, se logra convertir al usuario en un aliado para la Seguridad de la Información de la organización y se alcanza el desarrollo de una nueva y muy importante capa de seguridad para ella.

De todas formas, muchas veces se emprende un plan de Concientización sólo para dar cumplimiento a una norma o política interna de la organización. De esta manera, los planes (y la inversión para llevarlos adelante) se convierten en un tilde en el checklist de un auditor y una falsa apariencia de seguridad.

Este enfoque de concientizar sólo para cumplir, viene dado porque las técnicas y herramientas utilizadas para llevar adelante planes de Awareness no suelen ser las apropiadas. Esto genera un prejuicio alrededor del cambio de hábitos en los usuarios finales, donde se cree que es, o bien muy difícil de lograr, o hasta imposible. Entonces, “lo mejor” pasa a ser educar para cumplir, e intentar parchear el gran agujero de seguridad que queda con controles tecnológicos que, si bien hacen su mejor esfuerzo, no logran detener todos los ataques dirigidos a los usuarios.

Resumiendo: Concientizar es importante, ya que el usuario está continuamente en la mira de los ciberdelincuentes, y las soluciones tecnológicas por sí solas no son suficientes para detenerlos. Y muy importante: Concientizar es posible.

Dicho esto, vamos a ver una de las técnicas (de muchas) que debemos tener en nuestro portafolio a la hora de llevar adelante un cambio de comportamiento exitoso en los usuarios de nuestra organización: El Refuerzo Positivo.

nota: si estás pensando que concientizar (de verdad, no sólo para cumplir) es un proceso en el que hay que tener en cuenta muchas técnicas, herramientas y metodologías, estás en lo cierto. Pero para tu suerte, existen plataformas que integran las mejores prácticas para que hacerlo se convierta en una tarea simple y efectiva.

Corregir con lapicera verde

El Refuerzo Positivo es una forma diferente de encarar un proceso de cambio de hábitos. La mayoría de las veces, durante la enseñanza, la persona a cargo de la misma se enfoca en destacar errores, con el objetivo de que éstos se reconozcan y se eviten. Esto sucede también en la mayoría de los entrenamientos asistidos por computadora.

Si nos ponemos en el lugar de una persona cualquiera dentro de nuestra organización, con todas sus tareas, obligaciones y estrés del día, lo que menos querrá es que remarquen, continuamente, cada cosa que hace mal. Menos, tendrá interés de rehacer una capacitación en la que no logró determinada nota, o quedar "trabada" por no encontrar una solución correcta.
Aquí entra en juego el Refuerzo Positivo. Esta técnica consiste en centrar la atención en lo positivo y no limitarse sólo a destacar los errores. Tiene su origen en la Psicología, como no podía ser de otra manera, puntualmente en el "Reforzamiento".

Reforzamiento: procedimiento mediante el cual la aplicación de un estímulo (llamado reforzador) hace que aumente la probabilidad de que una conducta se repita en el futuro.
El Refuerzo Positivo entonces tiene lugar cuando una respuesta va seguida de una recompensa o cualquier otro evento positivo, y aumenta la probabilidad de que ésta vuelva a ocurrir.

Este cambio de enfoque, trae consigo una multitud de ventajas:

Afianza los conocimientos

Contribuye a afianzar lo bueno o correcto y a desechar lo negativo o incorrecto.

Estimula el esfuerzo

Al sentir que se reconoce algo que ha hecho correctamente, la persona va a valorarlo y se sentirá más predispuesta a continuar con su capacitación.

Fomenta la receptividad

Si nos limitamos a criticar y destacar los fallos, la persona acabará perdiendo el interés y abandonará su capacitación. Si la misma es obligatoria, la hará a la fuerza, pero sin asimilar ninguna enseñanza. En cambio, al incluir comentarios positivos y señalar lo que hace bien contribuiremos a que la persona esté más receptiva y asimile mucho mejor cuál es el camino correcto.

Motiva y crea conductas

A través del reconocimiento de sus aciertos ofrecemos a la persona un estímulo, despertamos sus ganas de actuar correctamente y hacer bien las cosas.

El método del refuerzo positivo contribuirá a motivar a la persona en busca del premio o aprobación por sus aciertos, pero creará también una conducta, un hábito que formará parte de su personalidad.

Cuando una persona está ya bajo el control del reforzamiento positivo, tiende a actuar sin que haya un motivo o causa antecedente o previa. De esta forma, llevará a cabo los comportamientos inducidos con "libertad". Y cuando hay sensación de libertad, no hay control aparente, lo cual es positivo ya que cuando hay control la gente se molesta, trata de huir, reclama, se queja, y ejerce la rebeldía.

Mejora la autoestima

Ayudamos a la persona a detectar sus fortalezas y mejorar su autoestima, evitamos el desánimo y la frustración y contribuimos a que construya una imagen de sí misma real y positiva. Además, logramos que la persona pase un buen momento dentro de la capacitación y su predisposición a este tipo de campañas de concientización sea positiva.

Conclusión

A la hora de elaborar una metodología para llevar adelante un Plan de Concientización tengamos en cuenta el concepto del Refuerzo Positivo. Si vamos a utilizar una herramienta para llevarlo a cabo, entonces seleccionemos una que tenga en cuenta este concepto.
Éste, será uno de varios elementos que nos ayudarán a crear un cambio de comportamiento real en los usuarios de nuestra organización y en consecuencia una capa de seguridad muy importante para ella. Y, no menos importante, hará que el área de seguridad sea vista con ojos amigables, como un aliado dispuesto a ayudar a los usuarios y reconocer de buena manera sus aciertos.

Fuentes

Leer Más

viernes, 7 de julio de 2017

El Arte de Engañar al Usuario - Parte 4: Ataques remotos

El Arte de Engañar al Usuario - Parte 4: Ataques remotos


EN ESTA CUARTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA REMOTA, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA LOCAL, YA VISTOS EN LA PARTE 3.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma remota.

Phishing

Tal como su nombre lo indica esta técnica busca “pescar” víctimas. Generalmente se utiliza para ello el envío de correos electrónicos conteniendo adjuntos con malware, links a páginas falsas, o simples solicitudes de información, con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos).

Un ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y la misma tiene dinero (generalmente son sumas millonarias) que quiere donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su “buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta dejándole un porcentaje siempre y cuando se cumpla la condición de que el resto del dinero sea donado con fines solidarios.

El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que le envíe distintos datos personales como así también fotocopia de documento para “verificar” su identidad) y además una suma pequeña de dinero (para no levantar sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de escribano, sellados, etc.

Esta técnica se vuelve aún más peligrosa y efectiva cuando es apuntada a un objetivo específico como por ejemplo un empleado que tiene acceso a diferentes sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing ya que más que pescar sería cazar con un arpón.

Redes Sociales

Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un lado y generar una relación con la misma por otro.

Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.

Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está generando si un atacante lo elige como objetivo.

Telefónicos

Kevin Mitnick fue un famoso Phreaker (Hacker Telefónico), que con el sólo uso de un teléfono logró hacer cosas increíbles.

Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de “Pretexting” e “Impersonate” vistas en el post anterior, siendo mucho más cómodo y seguro para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial delante de su víctima.

Sobre esta serie

Este es el cuarto de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

martes, 27 de junio de 2017

Seguridad, Confianza y Garantía en la Nube [Actualizado]

Seguridad, Confianza y Garantía en la Nube [Actualizado]


Recientemente, en SMARTFENSE, hemos dado un gran paso en el compromiso con la Seguridad de la Información de nuestra plataforma, dándonos de alta en el programa CSA STAR (CSA Security, Trust & Assurance Registry).

Dicho programa, es el programa más potente de la industria para garantizar la seguridad en la nube, y abarca los principios clave de transparencia, auditoría y armonización de normas.

STAR consta de tres niveles de aseguramiento, y se basa en una lista completa de objetivos de control centrados en la nube, que recibe el nombre de Cloud Controls Matrix (CCM). CCM es el único meta-marco de controles de seguridad específicos de la nube, y está mapeado a los principales estándares, las mejores prácticas y regulaciones. Esto lo convierte en la herramienta por excelencia para las organizaciones que buscan obtener la estructura, detalle y claridad necesarios en relación con la Seguridad de la Información en la nube.

Beneficios para los usuarios de servicios en la nube

Este programa, accesible al público, está diseñado para que los usuarios de servicios en la nube evalúen a sus proveedores de nube, proveedores de seguridad y empresas de servicios de asesoría y evaluación para tomar las mejores decisiones de adquisición.

De esta manera, todas las personas interesadas en la plataforma SMARTFENSE, tendrán una fuente confiable y objetiva de información para poner sobre la balanza a la hora de evaluar la adopción de la plataforma.

Acerca de la CSA

La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones.

Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria.

SMARTFENSE Sponsor de la CSA SUMMIT 2017

De la misma manera que el pasado año, el capítulo de Argentina de la CSA vuelve a organizar una conferencia de alto nivel para aprender sobre el progreso de las empresas en el cambio de la Computación en la Nube y las nuevas tendencias clave en Seguridad de la Información.

Como no podía ser de otra manera, para remarcar nuestro compromiso con la seguridad en la nube, hemos decidido ser sponsors de este gran evento, que se llevó a cabo en la ciudad de Buenos Aires el 29 de Junio del corriente año.

Algunas fotos del evento

 

 
 
 

Leer Más