lunes, 30 de enero de 2017

Que no te pase lo mismo que a Bullrich: Hardening de Twitter

Que no te pase lo mismo que a Bullrich: Hardening de Twitter


Salgo de una reunión y veo inundados mis medios de comunicaciones digitales con el mensaje: “Hackearon la cuenta de Twitter de Patricia Bullrich (Ministra de Seguridad de Argentina)”.

Era temprano en la tarde del jueves y muchos de mis colegas estaban revolucionados con el tema. Mientras algunos insistían con que la cuenta había sido hackeada, otros corregían la frase indicando: “Gente, dejen de bol... con los "hack" de twitter. Si haces clic en cualquier cosa, usas la misma pass y no usas doble autenticación, jodete!”. Más tarde, en el entorno de la funcionaria, surgiría la hipótesis de que la cuenta de twitter fue vulnerada mediante un ataque de phishing.

Una vez obtenido el acceso a la cuenta de Bullrich, fueron nueve tuits que el o los atacantes enviaron. En su mayoría, en contra del Gobierno de Mauricio Macri. Siendo el primero el de mayor impacto para aquellos que no están en el submundo de la seguridad informática: “Hago de manera oficial mi renuncia como ministra de seguridad". A tal punto fue así que al día siguiente le pregunté a algunos de mis familiares y amigos si se enteraron de qué pasó con Bullrich y me dijeron “Sí, renunció la Ministra de Seguridad”.

¿Qué tan grave fue?

Creo que estamos de acuerdo al afirmar que lo que pasa en el ámbito de lo digital cada día tiene mayor impacto en el mundo material. Sin ir más lejos, algunos ya consideraban real la renuncia enviada en el primer mensaje.

Según la víctima no fue tan grave como si hubiera sucedido con una cuenta oficial: “Por supuesto todos estos temas tienen que ser investigados, no tanto por mi cuenta sino por lo que significa mi investidura como ministra de Seguridad. En este caso era mi cuenta personal, una cuenta normal con una clave normal" y otro mensaje donde indica “Me pueden hackear las veces que sea". Vale aclarar que es una cuenta verificada, utilizada para su actual función y que tiene más de 326.000 seguidores.

¿Qué hacer si “hackearon” la cuenta de Twitter oficial de nuestra organización o de alguna persona relevante de ésta?

En caso de que la cuenta ya haya sido hackeada (término usado por Twitter) hay que seguir los pasos de este enlace: https://support.twitter.com/forms/hacked

¿Qué hacer para evitar que eso ocurra (o vuelva a ocurrir)?

Conociendo de antemano que los métodos más comunes son la utilización de trampas de phishing y la utilización de fuerza bruta contra la contraseña, estas son las recomendaciones que da Twitter, en particular para las cuentas verificadas, ya que son más propensas a ser atacadas:

  • Activa la verificación de inicio de sesión para poner en práctica un segundo control de seguridad al momento de iniciar sesión. Encontrarás las instrucciones correspondientes aquí.
  • Ten precaución si vas a permitir el acceso a tu cuenta a las aplicaciones de terceros. Revisa tus conexiones con frecuencia y revoca el acceso de cualquier aplicación que no conozcas. Obtén más información aquí.
  • Asegúrate de que la dirección de correo electrónico asociada a tu cuenta sea segura. Este artículo incluye un resumen de consejos para mantener la seguridad de tu cuenta.

Son tres medidas que todo community manager debería aplicar sobre las cuentas que administra, como también así cualquier persona que gestione su propias cuentas de redes sociales para hacer los comunicados oficiales. Se debería sumar contar con una contraseña segura y cambiada periódicamente si queremos hablar de seguridad en capas.

Pero si realmente queremos hablar de seguridad multinivel, me remito a esta frase previa para hacer énfasis en la medida que muchas veces se olvida: las personas

“Gente, dejen de bol... con los "hack" de twitter. Si haces clic en cualquier cosa, usas la misma pass y no usas doble autenticación, jodete!”.
Mientras no se incluya a las personas en las medidas de seguridad y no se vean ellos mismos comprometidos como parte de la protección, vamos a seguir teniendo estos casos.

Lamentablemente en muchos casos no son conscientes del valor que tiene su identidad digital para ellas mismas y para su organización (Según la propia Ministra: “era mi cuenta personal, una cuenta normal con una clave normal”).

¿Cómo incluir a las personas en la estrategia de seguridad?

Antes que nada, estableciendo la línea base, es decir, conociendo el estado de situación de las personas de la organización en lo referido a capacitación y conciencia en seguridad informática.

Esto se puede lograr tanto con encuestas y evaluaciones como con simulaciones de ataques reales. Por ejemplo, en la plataforma de SmartFense, puede poner a prueba a todas las personas de tu organización, incluyendo a los community managers, para ver si caerían en la misma trampa que supuestamente cayó el equipo de la Ministra. Esto se realiza mediante una campaña de simulación de Phishing, la cual, sin capturar los datos reales de los usuarios, permite conocer qué usuarios abrieron el email de phishing, hicieron click sobre el enlace, completaron los datos y hasta descargaron un archivo ejecutable (si corresponde).

Los datos encontrados en este tipo de acciones son reveladores, en muchos casos más sorprendentes de lo que uno creía a priori. Pero lo importante es no quedarse allí y avanzar en mejorar ese estado de situación. Para esto, debe desarrollarse un programa específico, con campañas tanto de capacitación como de concientización, con el objetivo de mejorar los hábitos de los usuarios y comprobar su asimilación haciendo uso de nuevas simulaciones. Si bien esto puede parecer un arduo trabajo, existen herramientas como SmartFense pensadas para facilitar esta tarea, permitiendo llevar adelante un programa como el descrito con el mínimo esfuerzo y con métricas en tiempo real.

Incluye a las personas en tu estrategia de seguridad y deja de ser el único responsable de la seguridad de la información en tu organización.
Leer Más

martes, 24 de enero de 2017

Ludificación: una herramienta ideal para complementar tu proceso de concientización en seguridad

Ludificación: una herramienta ideal para complementar tu proceso de concientización en seguridad


La concientización en seguridad de la información puede convertirse en algo aburrido con el tiempo. Uno de los desafíos más grandes es proveer a las personas una experiencia que les permita realmente recordar y asimilar los buenos hábitos.

Gamification o Ludificación, como se prefiere en castellano, es una práctica que puede resultar muy útil en situaciones como ésta. Concretamente se refiere al uso de técnicas de diseño y elementos propios de juegos, utilizados en contextos diferentes, con el objetivo de motivar y atraer la atención de las personas.

Casos exitosos en el uso de ludificación

Speed Camera Lottery y Nike+, son casos de amplia repercusión en los que la aplicación de ludificación resultó exitosa. Mientras que en el primero el objetivo fue un cambio de comportamiento social, el segundo apuntó a la fidelización de los consumidores y captación de nuevos clientes. Estos ejemplos muestran la amplia variedad de ámbitos en los que es posible aplicar ludificación y su potencial para influir en el comportamiento de las personas.
Existen también numerosos casos en los que se ha utilizado ludificación en procesos educativos y la práctica ha ganado mucho terreno en los procesos de concientización de seguridad durante los últimos años. Un ejemplo de ello es el caso de Salesforce.com: luego de los primeros 18 meses de implementar una campaña de concientización ludificada su CTO, Patrick Heim, informó que los participantes del programa eran 50% menos propensos a hacer click en enlaces de phishing y 82% más propensos a reportar correos fraudulentos.


Principios de Ludificación

Utilizar ludificación en programas de concientización no significa necesariamente crear juegos, sino que el objetivo es hacer que el proceso de entrenamiento se parezca a uno, resultando divertido y atractivo.

Existen cuatro elementos que definen un juego y que conforman las bases de cualquier proceso de ludificación:
    • Definir metas claras y alcanzables.
    • Definir reglas para alcanzar dichas metas.
    • Proveer mecanismos de retroalimentación.
    • Hacer que la participación sea voluntaria.
      Estos principios, aplicados en programas de concientización en seguridad, implican por lo general otorgar puntos y reconocimientos a personas que muestran comportamientos correctos como reportar correos fraudulentos, tener contraseñas fuertes, asistir a seminarios, informar sobre memorias USB encontradas en el piso, etc.

      Conclusión

      En artículos anteriores hablamos sobre la importancia de generar conciencia colectiva dentro de las organizaciones como la manera más efectiva para prevenir ataques. Aplicar principios de ludificación en nuestros procesos de entrenamiento implica colocar a los usuarios en una posición activa en la cual ellos son protagonistas. Es una forma de alinearlos con los objetivos organizacionales y lograr cambios de comportamiento conscientes y duraderos. Entonces, ¿por qué no empezar a aprovechar la potencialidad de esta herramienta para endurecer el human firewall de nuestra organización de manera divertida?
      Leer Más

      miércoles, 18 de enero de 2017

      Retorno de inversión en capacitación y concientización de Seguridad de la Información

      Retorno de inversión en capacitación y concientización de Seguridad de la Información

      Este post tiene por objetivo clarificar el panorama a los encargados de tomar las decisiones en cuanto al retorno de la inversión en seguridad (ROSI) respecto a la realización de campañas de capacitación y concientización.

      ROI vs. ROSI

      Vamos a comenzar aclarando un concepto importante al momento de invertir y cómo se mide el retorno de una inversión en seguridad (ROSI).

      Éste deriva de la forma genérica del retorno de la inversión (ROI), que es un término que relaciona la inversión en un proyecto con los beneficios económicos que este traerá. Esto quiere decir que en un plazo dado se ganará dinero en función de la inversión. Generalmente la fórmula para su cálculo es la siguiente:

      ROI = (Beneficio - Inversión) / Inversión * 100
      Ejemplo: Si se va a invertir 3 mil dólares y el proyecto traerá un beneficio económico de 7 mil dólares en el plazo de 1 año, el mismo es económicamente viable. Fórmula para el ejemplo: (7000 - 3000) / 3000 * 100 = 133 %. Es decir que para este caso planteado se espera un retorno de inversión del 133 %.

      Ahora bien, en el caso del ROSI, si bien la fórmula conserva la forma del cálculo del ROI, los indicadores son diferentes porque cuando analizamos una inversión en seguridad no buscamos un aumento en los ingresos, sino más bien una disminución del riesgo al que están expuestos los principales procesos de negocio. Entonces empleamos la siguiente fórmula:

      ROSI = (Riesgo Disminuido - Inversión) / Inversión * 100
      En resumen, mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el ROSI evalúa cuánto dinero se dejará de perder o el impacto económico que se evita ante un incidente de seguridad.

      Cómo obtener el punto de mayor ROSI



      El gran factor a tener en cuenta para obtener el punto de mayor ROSI en las inversiones de capacitación en seguridad es determinar el nivel de conocimiento a alcanzar por parte de los usuarios para que sea lo suficientemente bueno respecto al menor costo posible.

      Como se observa en el gráfico de SANS Institute: "El eje X representa la cantidad de esfuerzo que se pone para que los usuarios finales tengan hábitos más seguros y aumenten su nivel de conocimiento”. Cuanto más tiempo, recursos y esfuerzo se invierte, más conscientes de la seguridad serán. En el extremo izquierdo es donde están hoy la mayoría de los empleados, totalmente inconscientes e inseguros. Esto no es porque sean inferiores, esto es porque nadie ha tomado el tiempo para entrenarlos. En el extremo derecho está la comunidad de seguridad, altamente capacitada y consciente.

      El eje Y mide el retorno de la inversión de su organización. El punto más alto donde se obtiene el mayor retorno deberá ser su objetivo (Goal). Si se invierte poco esfuerzo, sus empleados seguirán siendo un gran punto de riesgo (donde la mayoría de las organizaciones se encuentran hoy en día). En el extremo opuesto si se invierte demasiado, se estará entrando en excesos innecesarios. Por alguna extraña razón muchas personas esperan que los programas de sensibilización de seguridad conviertan a los usuarios finales en expertos en seguridad (Security Geeks), y esto es ridículo.

      También se deberá analizar la disminución del riesgo, es decir cada vez que ocurre un incidente de seguridad la empresa pierde dinero y cuantificarlo ayuda a analizar la viabilidad económica de la inversión. Es por eso que es importante conocer y estimar previamente los costos directos, indirectos y ocultos de los incidentes producidos por usuario.

      El gran reto con la concientización en seguridad es determinar un punto medio, donde el nivel de conocimiento sea lo suficientemente bueno, a la vez que se obtenga el mayor ROSI, y esto es diferente para cada organización. Entonces, ¿de qué manera o qué herramienta puede colaborar en hacer más rentable nuestra inversión?

      Uso de CBT (Computer-Based Training)

      Los líderes empresariales deben reconocer que el panorama general de la ciberseguridad se está tornando cada vez más peligroso. La cantidad de ciberdelincuentes en todo el mundo está creciendo y sus tácticas y capacidades evolucionan y maduran con el tiempo. Los programas de concientización sobre seguridad deben estar constantemente actualizados y representan una herramienta crítica para mantenerse a la vanguardia de estas amenazas.

      Por todos estos motivos sin duda el uso de CBT (Computer based Training) especializados en information security awareness responden nuestra pregunta anterior. Este tipo de plataformas facilita el proceso de capacitación constante ya que es automatizado, reduce tiempos y costos de preparación de contenidos de las campañas y además brinda las métricas en tiempo real para mantenernos informados del estado general y así poder realizar los ajustes necesarios para encontrar el punto medio donde el nivel de conocimiento sea lo suficientemente bueno

      Conclusión

      El uso de CBT enfocados en llevar al usuario al nivel justo de conocimiento y conciencia proporcionará rentabilidad positiva sobre la inversión tanto a corto como a largo plazo. La tendencia de las amenazas de seguridad es que sean cada vez mayores y más sofisticadas (phishing y ransomware a la cabeza), por lo que cuanto antes se invierta en este tipo de soluciones de capacitación y awareness, más rápido se reducirán los costos directos, indirectos y ocultos (tema para un próximo post) de los incidentes en seguridad y se obtendrá un mayor retorno de la inversión.
      Leer Más

      martes, 10 de enero de 2017

      Spear Phishing: Arma de la Ciberguerra Fría

      Spear Phishing: Arma de la Ciberguerra Fría


      El día jueves 29 de diciembre de 2016, el Departamento de Seguridad Nacional Estadounidense (DHS) y la Agencia Federal de Investigaciones (FBI) publicaron un informe en el cual se acusa a Rusia de haber intervenido en las elecciones presidenciales del 8 de noviembre, llevando a cabo ataques informáticos con objetivo de dañar la campaña de la demócrata Hillary Clinton.

      El mencionado informe bautizó la operación rusa bajo el nombre de “Grizzly Steppe”, y fue atribuido específicamente a dos grupos de espionaje ruso, identificados como APT28 y APT29, quienes históricamente han accionado contra instituciones gubernamentales, universidades y empresas de todo el mundo.

      Ambos grupos son conocidos por utilizar la técnica de Spear Phishing como punto de partida para sus ataques. Esta técnica consiste en un engaño vía email focalizado contra una persona u organización.

      El objetivo final de APT29 es instalar malware en los equipos de sus víctimas y posibilitar el acceso remoto a los mismos, sin ser detectado gracias a una gran variedad de técnicas de evasión. APT28, por su parte, utiliza Spear Phishing para lograr obtener las credenciales de sus víctimas, imitando sitios webs legítimos.

      Crónicas de una ciber batalla

      Durante la operación “Grizzly Steppe”, ambos grupos cumplieron su rol, comenzando por APT29, quien logró durante el tercer trimestre de 2015, mediante ataques de Spear Phishing, insertar código malicioso en la infraestructura informática de víctimas estratégicamente seleccionadas, logrando, mediante la posterior ejecución del mismo, exfiltrar direcciones de email valiosas.

      Luego APT28, en el segundo trimestre del 2016, también mediante una campaña de Spear Phishing y utilizando posiblemente las direcciones de email exfiltradas por APT29, engañó a varios altos miembros del partido Demócrata para obtener sus credenciales de determinados servicios, haciéndose pasar por la organización prestadora real y solicitando un cambio de contraseña.

      Utilizando las credenciales adquiridas, APT28 fue capaz de obtener acceso a las cuentas de sus víctimas y robar contenido de interés.

      La información obtenida fue reenviada a bases de datos controladas por los grupos espías y difundida luego en Internet por agentes como Wikileaks. El objetivo final fue atentar contra la imagen de Hillary Clinton, la candidata Demócrata, previo a las elecciones que dieron por ganador a su rival, Donald Trump, el controversial candidato Republicano.

      La misma piedra, el mismo tropiezo

      John Podesta, jefe de la campaña presidencial de Hillary Clinton de 2016, fue una de las víctimas del accionar de APT28. Toda su correspondencia fue filtrada en Wikileaks, incluido el correo de Spear Phishing con el cual lo engañaron para obtener las credenciales de su cuenta de correo, el cual se muestra a continuación:


      El contenido de los correos de John Podesta tuvieron un gran impacto negativo en la campaña de Hillary Clinton y es una de las filtraciones más significativas de la operación “Grizzly Steppe”.

      Como se puede ver, el correo recibido por Podesta es realmente simple, y lo instan a cambiar su contraseña haciendo clic en un enlace acortado. La razón dice ser un intento de logueo a su cuenta desde Ucrania.

      El guión de este email es un clásico ejemplo en la Ingeniería social, ya utilizado millones de veces en correos de Spear Phishing a lo largo de los años. De principio a fin está lleno de evidencias que indican que es un engaño. Pero, con el correr del tiempo, sigue siendo utilizado, y con una tasa alta de éxito.

      La evidencia indica que sigue funcionando

      Los grupos rusos mencionados (y la gran mayoría de grupos de ciberdelincuentes del mundo) no basan sus ataques en la Ingeniería Social porque sí. Tienen razones, y las principales son que:
      1. Este tipo de ataques es inmune a las soluciones tecnológicas. Si los filtros anti-spam o las soluciones antivirus fueran 100% efectivas contra este tipo de ataques, la operación “Grizzly Steppe” no hubiese tenido éxito, como así tampoco la mayoría de los ciberdelitos que ocurren diariamente.
      2. Funcionan una y otra vez sin siquiera tener que pensar en un nuevo engaño, ya que las personas no suelen estar concientizadas ni entrenadas para enfrentar este tipo de amenazas, sino que toda la seguridad de la información descansa fuertemente sobre soluciones tecnológicas. Lo cual nos lleva nuevamente al punto 1.
      La realidad demuestra constantemente que los ataques de Ingeniería Social tienen la capacidad de evadir con frecuencia las soluciones tecnológicas. En estas situaciones, la última línea de defensa entre la información y el atacante es la persona. 

      Los ciberdelincuentes, por su parte, ya saben cómo inducir a dicha persona para que ésta haga lo que ellos desean. Sus métodos están probados y demuestran ser muy efectivos.

      En conclusión, la última línea de defensa entre la información y el atacante, es una persona fácilmente manipulable mediante técnicas probadas y efectivas que tienen la capacidad de evadir soluciones tecnológicas.

      Entonces la pregunta es, ¿por qué no nos preocupamos por fortalecer nuestra última línea de defensa?
      Leer Más

      lunes, 2 de enero de 2017

      ¿Seguimos desconfiando del usuario final o hacemos algo al respecto?

      ¿Seguimos desconfiando del usuario final o hacemos algo al respecto?



      Este artículo está inspirado por uno de los tantos colegas superhumanos que me rodea a diario en el ámbito de la informática:


      Como ya he escuchado este tipo de comentarios en miles de variantes diferentes desde hace tanto tiempo, ya soy inmune a ellos. Sin embargo, quisiera compartir con ustedes mi parecer sobre esta clase de pensamientos

      Empecemos por lo básico: éste y otros tantos expertos en informática se refieren a los usuarios finales o end-users (en este caso denominados “humanos”) como si fueran otra raza o especie diferente a la de sí mismos.

      “Ellos” serían los que han decidido estudiar otra carrera (o ninguna) y “nosotros” los que nos especializamos en alguna rama de la informática. Y esta situación se sigue agravando cuando ya no es ellos y nosotros sino ellos vs nosotros.

      Sin ahondar en detalles de algo de lo que todo informático sabe, otro de los motivos que agrava esta situación es la explotación que recibimos los informáticos a lo largo de nuestra vida por parte de “Ellos” (véase Pringao-HowTo).

      Lo que nos lleva a un estado donde ambas partes saben de esa fricción. El usuario se habitúa a ser tratado despectivamente y el informático parece sentirse casi una raza superior. 

      Estado de situación

      Siendo tan vasta y compleja la tecnología actual, la gran mayoría de los usuarios que ingresa a cualquier organización, llega con una gran brecha entre lo que sabe y debería saber. Las áreas de RRHH muchas veces no tienen forma de poder validar dicha brecha (mucho menos sin la ayuda de TI) y además normalmente no se tiene un proceso de inducción enfocado para disminuirlo. Sumado a eso, no surgen suficientes iniciativas desde el área de tecnología para que los usuarios reciban capacitaciones… ¿por qué? Veamos un tuit otro ejemplificador:



      Entonces llegamos a una situación donde:
      1. Ingresan personas a la organización sin los conocimientos informáticos mínimos.
      2. No se tiene un proceso de inducción acorde.
      3. No se dispone de una capacitación periódica.
      El informático aún cree que la culpa sigue siendo del usuario final. Mientras, sigue en lo suyo.

      ¿Como revertir esto? Actuando como profesionales

      • Lo primero es ser conscientes de la situación: las personas llegan a la organización sin los conocimientos suficientes en tecnología en general. Esto hay que darlo por hecho, pensar distinto es vivir una fantasía.
      • Lo segundo es dejar de quejarse y ser proactivo: las personas de TI tenemos que participar en los procesos de selección e inducción, como así también tener un plan de capacitación constante para los usuarios.
      • Y por último, entender que nunca van a ser expertos en tecnología, pero tampoco van a ser menos personas que nosotros por eso. Ellos fueron contratados por su especialización en otro rubro y es hora que lo entendamos. Tenemos que ocuparnos por hacer llegar a todos a un nivel de conocimiento en TI aceptable.

      ¿Y qué pasa si no lo hago?

      Todo va a seguir de la misma manera (como en los 90), ellos vs nosotros, dos especies distintas, enemistadas.

      Tener al enemigo dentro y seguir invirtiendo en más tecnología de control, bloqueo e invasión de la privacidad no sólo que es caro, sino que muchas veces va en contra de la filosofía organizacional y puede traernos problemas legales.

      Tampoco quiero decir que sólo hay que invertir en la gente, pero sí es hora de distribuir el esfuerzo, el dinero y la responsabilidad para enfrentar a las nuevas amenazas:
      • Esfuerzo: ya no podemos ser los únicos que tratamos de mitigar todos los riesgos modernos mientras los usuarios siguen haciendo clic a enlaces de todas formas y colores posibles. Es hora de que ellos también sean conscientes de las amenazas.
      • Dinero: las soluciones avanzadas de seguridad son caras, sea DLP, inspección SSL y cualquier otra solución automágica que implentemos. Comparativamente es ínfimo lo que se está invirtiendo en los usuarios en sí y es imperativo balancear tanto el riesgo como el dinero.
      • Responsabilidad: es hora que el usuario rinda cuentas por sus acciones, pero para eso debemos dar el soporte para que esto se formalice. Con esto me refiero a unas buenas Políticas de Uso Aceptable y a un Plan de Awareness con tracking de las acciones del usuario. Sin eso, es muy difícil responsabilizarlos ya que podemos no tener la evidencia suficiente.

      ¿Por qué cambiar y pensar distinto? Porque ya no son los 90

      En los 90 nos enfrentábamos a entornos de amenazas y soluciones mucho más simples, con un antivirus y un firewall ya estábamos casi cubiertos. En la década del 2000 se introducen los sistemas de gestión, procedimientos, temas legales, etc., para tratar de gestionar la complejidad en aumento. Y en esta última década el phishing y el ransomware nos han demostrado que ya no queda otra opción que incluir a los usuarios en la estrategia de seguridad. Ya no sirve rezarle a la solución mágica del proveedor de turno para que mitigue todos los malos hábitos de los usuarios (no seamos tan inocentes, no existe la bala de plata).

      Nos guste o no, al considerar que es una lucha perdida, logramos que la pelota esté de nuestro lado por la inacción. Confiando o no en el usuario, si tomamos medidas proactivas (Políticas de Uso Aceptable y Awareness) ya la pelota queda de su lado, y nosotros contamos con la evidencia necesaria para demostrar que hicimos todo lo posible. Si además creemos que ese intento vale la pena, podremos objetivamente demostrar si es una lucha perdida o no. Si no lo intentamos ya sabemos quien es el culpable.
      Leer Más