Aplicacion ens infordisa

El proceso de aplicación del ENS, se aplica con un total de seis fases y se basa en un ciclo de mejora continúa.

El ENS se basa en un ciclo de mejora continúa

El ENS a grandes rasgos consiste en la implantación de un SGSI (Sistema de Gestión de la Seguridad de la Información / en inglés SystemManagement Information System), el cual tendrá que cumplir una serie de requisitos para ser certificado según la ley 11/2007 artículo 42.2 dónde es define el Esquema Nacional de Seguridad.

Ens sgsi esp

Model PDCA de l’ENS​

Utilizamos el modelo estándarPlan, Do, Check, Act, para garantizar la correcto aplicación del ENS. Vemos las fases del modelo PDCA aplicadas al ENS:

Pdca ens esp

Fases del Plan de Adecuación al ENS

A Infordisa, planteamos el plan de adecuación del ENS a partir de 6 fases para garantizar el éxito en la implantación. El proçés de implantación finaliza con el Plan de Mejora del propio Plan de Adecuación, por el que una vez finalizada el Plan de Adecuación, este, siempre se encuentra continúa evolución y actualización.

Fases ens esp
Como nos afecta el ens

Todos hemos sentido a hablar mucho del ENS, pero… ¿Qué es realmente? ¿Nos afecta? ¿Qué medidas tenemos que tomar?

¿Qué es el Esquema Nacional de Seguridad ENS?

La Ley 11/2007 da acceso electrónico a todos los ciudadanos para tramitaciones con las Entidades Públicas.​
Se aprueba el Esquema Nacional de Seguridad (ENS) intermediando Real Decreto 3/2010 de 8 enero con objetivo determinar una política de seguridad en la utilización de Medios electrónicos con unos requisitos mínimos que permitan una protección adecuada de la información.

La Llei 11/2007 dóna accés electrònic a tots els ciutadans per a tramitacions amb les Entitats Públiques.​
S’aprova l’Esquema Nacional de Seguretat (ENS) mitjançant Real Decret 3/2010 de 8 gener amb objectiu determinar una política de seguretat en la utilització de Mitjans electrònics amb uns requisits mínims que permetin una protecció adequada de la informació.

Posteriormente, el Real Decreto 951/2015, de 23 de octubre, modifica el anterior RD por el que se regula el ENS y se dio un plazo de 24 meses a las Administraciones públicas para Adecuarse al ENS, y este finalizaba el 5 de noviembre de 2017.


Objetivo del Esquema Nacional de Seguridad ENS

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos.​
  • Establecer una Política de Seguridad de la información.​
  • Promover la gestión continuada de la seguridad.​
  • Promover la prevención, detección y corrección de incidencias de seguridad.​
  • Promover la concienciación en ciberseguridad a la organización.​
  • Obtener una mayor implicación y compromiso del alta dirección en materia de Seguridad.

A quien aplica el Esquema Nacional de Seguridad ENS

  • Administración General del Estado.
  • Administraciones de las CCAA.
  • Entidades Locales:​ Ayuntamientos y Consejos Comarcales.
  • Universidades, Hospitales, Empresas Municipales…
  • Empresas privadas que den servicios relacionados con la Tramitación Electrónica

Conocemos el proceso de adecuación al Esquema Nacional de Seguridad ENS

Ens - Esquema nacional de seguridad
Debo cifrar la informacion sensible cast

Cuando hablamos de activos de empresa, tendemos a considerar únicamente como tales los bienes tangibles, como por ejemplo mobiliario, maquinaria, los servidores, etc. Pero no debemos olvidar que también son activos, en este caso intangibles, la cartera de clientes, nuestras tarifas, la propiedad intelectual o incluso la identidad de la empresa. Toda esta información personal, financiera, legal, de I+D, comercial y estratégica, junto con el software para manejarla, son nuestro principal activo. Sin ella no podríamos prestar nuestros servicios ni vender nuestro producto. Por ello es necesario preservar su integridad, confidencialidad y seguridad.

Para poder llevar a la práctica esta protección, tendremos que poner en marcha una serie de políticas de seguridad para, entre otras cosas, localizar y clasificar la información crítica, controlar quién tiene acceso a la información y a qué información,  proteger nuestros sistemas y también permitirnos utilizar los mecanismos necesarios para poder cifrar aquella información especialmente sensible o confidencial, como por ejemplo: copias de seguridad que vayamos a almacenar en la nube, datos personales sensibles, planes estratégicos, etc.

Entre la información que necesitaremos cifrar estará:

  • La información almacenada (discos, ordenadores, portátiles, dispositivos móviles, memorias externas):
    • backups que vayamos a subir a la nube;
    • datos personales sensibles, si trabajamos por ejemplo con datos de salud; e
    • información confidencial como planes estratégicos.
  • Las comunicaciones o información en tránsito, como correos electrónicos o transacciones a través de la web.

¿Cuál es la finalidad del cifrado?

El cifrado tiene como finalidad ofuscar la información mediante técnicas criptográficas para así evitar que los datos sean legibles para aquellos que no conozcan la clave de descifrado. Este tipo de técnicas son una solución eficaz para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que:

  • permiten controlar el acceso a la información;
  • limitan la difusión no autorizada en caso de pérdida o robo de dichos soportes.

Por otro lado, no debemos dejar de lado otro tipo de aspectos complementarios, como los siguientes:

  • la clave de descifrado deberá ser lo suficientemente robusta para que impida accesos no autorizados a la información que se protege;
  • si pierdes la clave, no podrás acceder a la información;
  • ante un fallo del dispositivo de almacenamiento físico, sería muy complicado recuperar la información, se encuentre cifrada o no.

En algunas ocasiones, para el intercambio de documentos habrá que utilizar una infraestructura de claves públicas de cifrado (PKI por sus siglas en inglés Public Key Infrastructure), proporcionadas por Autoridades de Certificación (AC o CA, según las siglas de Certification Authority). Por ejemplo, para el envío de documentos como facturas o notificaciones a las AAPP, habrá que utilizar la firma electrónica. 

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa




Las herramientas criptográficas

Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió. 

Elegir la herramienta correcta de cifrado dependerá de una serie de variables, como son las siguientes:

  • si queremos una herramienta transparente para el usuario o no;
  • si el descifrado de la información debe realizarse en cualquier lugar;
  • el perfil de usuario que va a utilizar la herramienta de cifrado.

Debemos tener en cuenta que para cifrar información no siempre será necesario utilizar herramientas específicas, ya que algunos programas de uso generalizado, como los paquetes ofimáticos o los compresores de ficheros, ya las incorporan. 

Por otro lado, tanto para el cifrado de la información como para el uso de la firma electrónica, es necesario realizar previamente un análisis exhaustivo que permita identificar qué información será susceptible de cifrado y cuál requerirá de firma electrónica. 

Tenemos que acordarnos también de proteger la información en tránsito y utilizar protocolos seguros en nuestras comunicaciones con el exterior de  nuestra red, ya sea con nuestros empleados, como con clientes, proveedores o usuarios de nuestros servicios. Para ello, en nuestra web, además de contar con mecanismos de autenticación si tenemos usuarios que se conecten a ella, contrataremos un certificado web que será de validación extendida si desde ella se pueden hacer transacciones económicas. Para accesos desde fuera de la red a nuestros servidores nuestros teletrabajadores y otros colaboradores pueden hacer uso de una VPN (por sus siglas en inglés Virtual Private Network, en español Red Privada Virtual), cuando sea necesario. 

La información es el principal activo de cualquier organización. Garantizar su integridad y confidencialidad es una prioridad cuando hablamos de ciberseguridad. Aquella que consideres más sensible o confidencial deberá estar cifrada con herramientas criptográficas. Que nadie ajeno acceda a los datos que se almacenan o circulan entre los distintos dispositivos que conforman tu red, protege tu empresa y protege tu información.

Si quieres leer el artículo completo de Incibe, puedes hacerlo aquí.

Correo falso

El correo electrónico es sin duda la herramienta de comunicación profesional standard y mas común entre las empresas. Diariamente recibimos infinidad de información mediante este canal y sin duda la mayoria de usuarios no aplicamos las medidas de seguridad mínimas antes de abrir un email de procedencia desconocida. Por este motivo, es un canal muy utilizado por los ciberdelincuentes para

Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.

Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.

¿Cómo accedo a las cabeceras de los correos?

Clientes de correo para Windows

Microsoft Outlook 2016, 2013 y 2010

  1. Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
  2. Seleccionamos la opción Archivo > Propiedades.
Seleccionamos Archivo
Archivo-propiedades
  1. La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.
Muestra cabeceras

Mozilla Thunderbird

  1. Abre el correo que quieras analizar.
  2. Haz clic en los botones «Más» > «Ver código fuente», situado en la parte superior derecha de la ventana.
Ver código fuente
  1. Las cabeceras del correo se mostrarán en una nueva ventana.
Mozilla cabeceras correo

Clientes de correo para Mac

Mail para Mac

  1. Accede al correo del que quieres ver las cabeceras.
  2. Ve a «Visualización» > «Mensaje» > «Todas las cabeceras».
Cabeceras Mail
  1. A continuación, se mostrará la cabecera completa del correo.

Clientes de correo web

Gmail

  1. Abre el correo cuyas cabeceras quieras obtener.
  2. A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».
  3. Haz clic en «Mostrar original».
Correo Gmail mostrar original
  1. La cabecera completa del email se mostrará en una pestaña nueva.

Outlook

  1. Abre el correo que quieres analizar.
  2. A continuación, haz clic en la línea de puntos situada a la derecha de la opción de «Reenviar»
  3. Haz clic en «Ver origen del mensaje».
Hotmail ver origen del mensaje
  1. Las cabeceras se mostrarán en una ventana nueva.

Yahoo

  1. Selecciona el correo cuyas cabeceras quieras visualizar.
  2. A continuación, haz clic en el icono de la línea de puntos > «Ver mensaje sin formato».
Correo Yahoo ver mensaje
  1. La cabecera completa del correo se mostrará en una nueva ventana.

¿Cómo se interpretan las cabeceras?

Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.

Para agilizar esta tarea podemos utilizar herramientas como MessageHeader, que nos facilita la identificación de cada campo de la cabecera, mostrando resultados como los que analizamos en las imágenes siguientes.

Ejemplo de correo legítimo:

Ejemplo de correo legítimo

En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.

En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPFDKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.

Ejemplo de correo ilegítimo:

Ejemplo de correo ilegítimo

El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).

En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.

Los registros DKIM y DMARK no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARK nos están indicando que se trata de un claro ejemplo de email spoofing.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu empresa.

Si quieres leer el artículo completo de Incibe, puedes hacerlo aquí.

Fin soporte windows 7

Microsoft dejará de dar soporte a Windows 7 en enero de 2020. Dicho de otra manera, Windows 7 se va a convertir en un sistema operativo vulnerable.

Fin de soporte a Windows 7

Windows 7 ha tenido una vida de 10 años gracias a las distintas actualizaciones que ha tenido a lo largo de los años. Con los años se han realizado nuevas actualizaciones del mismo modo que se ha dejado de dar soporte a las más antiguas.

El soporte estándar de Windows 7 finalizo en 2015, y en consecuencia dejo de tener mejoras en su desarrollo y paso a tener exclusivamente soporte extendido, lo que significa que a pesar de dejar de desarrollar el sistema operativo, se realizaban actualizaciones de seguridad para solventar problemas con la seguridad de todos los usuarios.

¿Pero que va a pasar en enero de 2020?

Microsoft también dejará de dar soporte extendido a Windows 7, por lo que el sistema operativo se va a quedar sin ningún tipo de soporte, mejora de desarrollo y actualización de seguridad. Por lo que el sistema operativo empezará a tener graves problemas de seguridad y para los usuarios no será seguro seguir utilizándolo. Esto será así a excepción de los usuarios que decidan pagar durante tres años mantenimiento exclusivo para Windos 7, un mantenimiento de pago que dará parches de seguridad hasta 2023. Una solución extrema para las empresas que se resistan a actualizar a Windows 10.

En otras palabras, en cuando aparezcan las primeras vulnerabilidades en el sistema operativo, sean críticas o no, Microsoft no va a ofrecer ninguna solución de seguridad. Por lo que cualquier ordenador con Windows 7 podrá verse afectado, con todas las consecuencias que esto puede suponer; perdida de datos o copia de datos sensibles entre muchas otras. ¿Imagina que su empresa sea victima de un ataque por la vulnerabilidad del sistema operativo? Su empresa y sus datos van a quedar desprotegidos.

Compativilidad de hardware y aplicaciones

Hasta día de hoy, los fabricantes de hardware y aplicaciones han seguido desarrollando sus productos pensando en la compativilidad con Windows 7. Pero, ¿Va a seguir siendo así? La respuesta es no. Lo normal sera que a mesura que pasen los años, los fabricantes dejen de actualizar sus aplicaciones pensando en Windows 7 y se centren en los nuevos sistemas operativos. Al mismo tiempo que Windows 7 pierda cuota de mercado, los proveedores dejaran de actualizar sus aplicaciones para este sistema operativo, por lo que el resultado final será que los usuarios que se resistan a actualizar-se a Windows 10, poco a poco van a perder la competitividad con aplicaciones y por lo tanto, funcionalidades. ¿Imagina que su empresa se queda sin poder trabajar sin su software CRM, ERP, RH, TPV o SGA? ¿Hasta cuando darán soporte para Windows 7 Corus ERP, Ahora o Sage?

De momento, esta anunciado que el soporte técnico de Internet Explorer también va a finalizar el 14 de enero de 2020, siguiendo así el mismo ciclo de vida. Los otos navegadores, aún no se han pronunciado al respeto, pero lo más probable es que en poco tiempo también dejen de ofrecer actualizaciones para Windows 7.

Windows 7 10

La solución pasa por migrar a Windows 10

De la misma manera que paso con el fin de soporte a Windows XP, la mejor solución es hacer la migración a un nuevos sistema operativo el cual tenga soporte por parte de su empresa madre. Así, lo más lógico es la actualización a Windows 10, la continuación de Windows 7. Pero debemos tener en cuenta las características técnicas que requiere Windows 10: un mínimo de 1 y 2 GB de memoria RAM para sus versiones de 32 y 64 bits, 16 y 20 GB de almacenamiento interno para las de 32 y 64 bits, una gráfica compatible con DirectX9 y una resolución de pantalla de como poco 800×600.

Si los equipos de su empresa no tienen estas características mínimas, deberá actualizar también los equipos para poder trabajar con un sistema operativo seguro y con soporte técnico por parte del fabricante. Cómo más nuevo y actual sea el ordenador, más provecho se podrá sacar a Windows 10.

Para tener el hardware de su empresa siempre actualizado, puede consultar el servicio de suscripción de Infordisa

¿Cómo actualizar mi empresa a Windows 10?

La versión Microsoft 365 Empresa incluye una actualización gratuita para los usuarios con dispositivos que dispongan de una licencia de Windows 7, 8 o 8.1 Pro. Al mismo tiempo, si te haces con Microsoft 365 Empresa, tus usuarios podrán actualizar todos sus dispositivos antiguos con licencias de Windows Pro con los licencias gratuitamente.

Ponte en contacto con el consultor especializado de Infordisa y después de estudiar la infraestructura, los requisitos y necesidades de tu empresa te haremos una propuesta de actualización a Windows 10 personalizada.

Telefonia ip

Hace años que existe la tecnología que hace posible la comunicación mediante la telefonía IP. A pesar de esto, la telefonía IP no se ha empezado a establecer hasta los últimos años de manera cada vez mas estandardizada ya que las redes de Internet hasta ahora no han sido lo suficientemente fiables y extendidas por el territorio para dar servicio y cobertura a una red de telefonía IP.

¿Qué es la Telefonía IP?

La tecnología IP da la posibilidad de integrar en una misma red todas las comunicaciones de voz y datos, simplificando así la infraestructura de comunicaciones tradicional vinculada a la telefonía. Permite integrar distintas sedes y trabajadores móviles en un único sistema integrado de telefonía.
La telefonía IP es posible gracias a la tecnología VoIP (Voice over Internet Protocol) la cual se encarga de transformar la voz en datos para ser enviados por Internet mediante la red telefónica pública.

Respeto la telefonía convencional, la telefonía IP presenta alguna desventaja y multitud de ventajas.

Telefonía IP VS Telefonía tradicional

Telefonía

Calidad de las llamadas

¿Necesita conexión eléctrica?

¿Necesita conexión a la red?

¿Funciona sin cableado?

¿Funciona sin un cable por canal?

¿Alta inmediata?

¿Permite movilidad?

¿Funciona sin numeración basada en localización física?

¿Posibilidad de usar en distintos dispositivos?

Cuota mensual

¿Llamadas low-cost?

¿Llamadas internacionales económicas?

ip

convencional

€€€

Calidad de las llamadas

Igual que la telefonía convencional, la telefonía IP ofrece una alta calidad en las llamadas. Hablando de la telefonía IP la calidad de la llamada dependerá siempre de la conexión a Internet, y hablando de la telefonía convencional, la calidad va a depender siempre del buen estado del cableado.

¿Necesita conexión eléctrica?

La telefonía IP necesita la electricidad para poder funcionar, ya que el dispositivo des del cual realizamos las llamadas va a necesitar corriente eléctrica para funcionar. En caso de corto de suministración eléctrica, esto puede suponer un punto negativo ya que nos quedaríamos sin servicio de telefonía. No obstante la telefonía IP permite la re-dirección de las llamadas a teléfonos móviles o la configuración de la línea en el smartphone, la cual cosa significa que en ningún momento vamos a perder la conexión a nuestro servicio de telefonía.

Por otro lado, la telefonía convencional de manera estándar no necesita conexión a la red eléctrica, ya que el mismo cable de red subministra la electricidad a los teléfonos. Pero en la mayoria de empresas esto cambia ya que por regla general, las empresas usan una centralita telefónica para hacer la correcta gestión de las lineas telefónicas. El uso de la centralita supone un problema en caso de corte de corriente eléctrica ya que las centralitas igual que un telefono de telefonía IP, necesita la corriente eléctrica para poder funcionar. La cual cosa puede suponer cortes en el servicio.

¿Que requisitos técnicos necesitan la telefonía IP y la telefonía convencional?

La telefonía IP requiere exclusivamente conexión a Internet. Por otro lado, la telefonía convencional para poder funcionar requiere la conexión por cable de red. Esto significa que la telefonía IP va a dar a los usuarios capacidad de libre movimiento en lugar de un puesto de trabajo fijo.

¿limitación por el número de canales?

​La telefonía IP no pone ningun obstaculo ni limitación a los canales que la empresa necesita utilizar. Depende exclusivamente de la capacidad del ancho de banda disponible en la empresa ya que el operador de telefonía IP puede proporcionar más canales de inmediato. Esto supone una gran ventaja respeto la telefonía convencional en la que el número de canales viene determinado por el cableado y la central telefónica. Así, en la telefonía convencional, siempre se podrán añadir nuevos canales, pero estos van a requerir un proceso más largo y complexo, ya que un técnico tendrá de desplazarse a la empresa para añadir nuevos canales.

Proceso de alta de servicio de telefonía

La telefonía IP permite hacer altas inmediata al momento de realizar la contratación. Así, des del momento de la contratación del servicio hasta el momento de empezar a disponer de línea y numeración telefónica, apenas tienes tiempo de tomar-te un café.

Por otro lado, la telefonía convencional, requiere más tiempo y la instalación del cableado por parte del técnico, por lo que el proceso puede durar días.

¿Telefonía y movilidad?

La tecnología IP permite utilizar una línea de teléfono des de cualquier punto del mundo siempre que tenga conexión a Internet, por lo que da una libertad y movilidad total a los trabajadores de la empresa.

En contrapartida, la telefonía tradicional siempre esta asociada en un lugar físico ya que el cableado delimita la capacidad de movimiento.

Multidispositivos

La telefonía IP permite utilizar  diferentes dispositivos, como teléfonos, smartphones, ordenadores y tablets, mientras que la telefonía convencional únicamente utilizar teléfonos.

La telefonía convencional permite utilizar exclusivamente el teléfono como herramienta de comunicación, mientras que la telefonía IP puede usarse en infinidad de dispositivos como pueden ser smartphones, ordenadores, tablets, smart whatch…

Hablamos de números

Como hemos comentado, la telefonía convencional requiere un proceso de instalación mucho más complexo, detallado y lento. En consecuencia genera unas cuotas mensuales de servicio mucho más altas respeto a la telefonía IP, la cual tiene una bajos costes de implantación.

¿Realizas llamadas nacionales e internacionales?

La telefonía IP permite ahorrar mucho dinero en cada llamada nacional y internacional. Así, podremos realizar llamadas internacionales low-cost en comparación a las las tarifas de llamadas internacionales de la telefonía convencional.

Ojo

Los ciberataques son cada día más comunes, los ciberdelinquentes desarrollan nuevos métodos para atacar las víctimas. Por esto es imprescindible trabajar la concienciación de los usuarios para evitar caer en ataques como el phishing o el ransomware entre muchos otros.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa




¿A quien afecta?

A cualquier cliente de ING ya sea como empleado, autónomo o empresa que sea usuario de operaciones de banca electrónica.

¿En que consiste?

Utilizando la técnica phishing se realiza un envío de correos electrónicos fraudulentos que suplantan la identidad de ING. El objetivo es dirigir a la víctima a una página web con un dominio falso para robar sus credenciales de acceso e información bancaria y poder acceder a su cuenta libremente.

Prevención

Por defecto todos deberíamos estar siempre alerta al recibir correos con datos sensibles, pero en caso de alerta phishing, debemos aún mas atentos y extremar las precauciones ya sea a título personal o aviando a los empleados de la empresa para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

He sido víctima. ¿Que hago?

Si has sido víctima del phishing y has accedido al enlace e introducido los datos de acceso a la cuenta bancaria, debes modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además es recomendable modificar la contraseña de todos aquellos servicios en los que se utilice la misma contraseña. A parte, te aconsejamos que contactes con Infordisa para prevenir futuros ataques y conocer el KIT concienciación

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

Descubre el kit concienciacion

El phishing a ING paso a paso

  • La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque es posible que puedan utilizar otro tipo de asuntos. En la comunicación se informa al usuario que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.
Pishing ing
  • Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Página web que suplanta a la de ING con un formulario de donde solicita documento de identificación y fecha de nacimiento
  • A continuación indicará que introduzca su clave de seguridad, la contraseña con la que accede a la banca online de ING.
Formulario que solicita la clave de seguridad.
  • Después deberá introducir su número de teléfono móvil.
Formulario que solicita el número de teléfono.
  • E introducir la posición número 48 de su tarjeta de coordenadas.
Formulario que solicita introducir la posición 48 de la tarjeta de coordenadas.
  • Por último requiere que el usuario envíe una foto de su tarjeta de coordenadas para poder utilizar su cuenta.
Páqina donde los ciberdelincuentes solicitan una foto de la tarjeta de coordenadas para que la cuenta quede activada.
  • Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING. Así, todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.
Página web legítima del banco ING.


Descubre las amenazas de seguridad y anticipate al desastre

LAS ENTRADAS Y LA INFORMACIÓN SOBRE CONCIENCIACIÓN, VULNERABILIDADES INFORMÁTICAS Y CIBERATAQUES PROVIENEN DEL INSTITUTO NACIONAL DE CIBERSEGURIDAD, INCIBE.

Conocemos todas las estafas de la red

Presentamos un artículo muy interesante publicado por el Centro de Seguridad de la información de Cataluña donde conocemos todos los métodos de estafa a la red.

El artículo 248 del Código Penal establece que comete estafa aquel que “con ánimo de lucro, utiliza el engaño para producir el error en el otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno”. También es responsable aquel que, con ánimo de lucro, y aprovechando una manipulación informática, consigue la transferencia no consentida de cualquier activo patrimonial en perjuicio de un tercero.

Si bien las estafas en la red son cada vez más elaboradas, con una personalización mayor, todavía hay muchas que siguen una serie de patrones que nos pueden permitir identificarlas a primera vista: un contexto inverosímil; una mala redacción o faltas de ortografía; el uso de marcas conocidas; el requerimiento de dinero por avanzado en compras online; o mensajes emocionales para cautivar la víctima. También es extremadamente útil consultar los recursos y consejos que publica esta semana el Programa de la entidad Internet Segura conjuntamente con la Agència Catalana de Consum , que es el organismo público que tiene las competencias en materia de consumo.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa



Hay varios tipos de estafa. Entras las más conocidas, hay:

  • El phishing: Son correos electrónicos que suplantan la identidad de algún servicio o empresa conocido porque la víctima acceda en una página fraudulenta que simula ser la legítima. Se utiliza para robar información personal, credenciales de acceso a servicios en la red o información bancaria. Esta técnica hay que diferenciarla del pharming, que manipula el tráfico legítimo de un sitio web para dirigir los usuarios otros de falsos, pero similares en apariencia, y que instalarán software malicioso en el sistema de la víctima.
  • El Ransomware. Es un tipo de programa malicioso que cifra el acceso a partes o archivos del sistema y pide un rescate económico para recuperarlo. La infección suele derivar de la apertura de un archivo desde el correo electrónico, pero no solo.
  • Las compras online. Son páginas web que venden productos que no existen y que, a pesar de efectuar el pago, no se recibirán. Acostumbran a tener precios irrisorios, no dan información sobre la empresa -como la dirección y el NIF- y solo aceptan pagos con tarjeta de crédito.
  • Las estafas de caridad: Es la suplantación de una organización no gubernamental (ONG) que solicita donaciones para catástrofes naturales, dolencias o atención a madres e hijos enfermos.
  • La oferta laboral: Busca que la víctima proporcione dinero en cambio de una supuesta “garantía” de conseguir sumas de forma rápida u obtener un trabajo de alto prestigio con poco esfuerzo. También incluye la obtención de información personal y privada (como cuentas bancarias o número de DNI).
  • El scam o fraude 419: Es una persona (que a menudo simula ser un familiar lejano) que afirma tener una importante suma de dinero (por razones diversas) y pide el uso de la cuenta bancaria de la víctima para transferir rápidamente el dinero.
  • Las amenazas y extorsión: Es la utilización del miedo para conseguir datos personales o ganancia económica de la víctima, incluso llegando a la amenaza de muerte.

imatge noti tendencies
Descubre el kit concienciacion

Últimas tendencias

El servicio de Análisis de Tendencias del Centro de Seguridad de la Información de Cataluña (CESICAT) publicó durante el mes de agosto el informe de tendencias de ciberseguridad del segundo trimestre de 2018. Entre otros, en materia de estafas a la red, la entidad destacó la continuidad del phishing contra empresas, con el objetivo de obtener importantes sumas de dinero, y los falsos apoyos técnicos, con un aumento anual del 24%, consistentes a hacer creer al usuario que su ordenador tiene un error y que pague una reparación o instale un software que contiene software malicioso.


En los últimos meses también ha tomado relevancia, en en cuanto a la última categoría de estafas, una campaña de ‘sextortion’ (extorsión sexual), por la cual el atacante asegura que revelará unos supuestos videos, fotos o información íntima de la víctima que habría obtenido después de perpetrar un supuesto ataque informático.

SI QUIERES LEER EL ARTÍCULO COMPLETO DE CENTRE DE SEGURETAT DE LA INFORMACIÓ DE CATALUNYA, PUEDES HACERLO A AQUÍ.

Matrix blog esp

Conozcamos Matrix, la nueva amenaza en formato ransomware dirigido la cual exige 2.500€ de rescate para recuperar los datos.

La ciberdelincuencia está evolucionando. Se ha sustituido el bot que producía los devastadores ataques masivos de ransomware como WannaCry o NotPetya por los ciberataques personalizados que hace seguimiento a las víctimas. Tras el aumento de este número de ataques en 2018, que alcanzaron popularidad gracias al éxito económico de SamSamBitPaymer y Dharma, se ha detectado un nuevo ransomware dirigido denominado Matrix que exige rescates por valor de 2.500 euros.

Para entender de qué manera están operando los ciberdelincuentes, SophosLab, el laboratorio donde trabajan los expertos de Sophos ha realizado una deconstrucción de Matrix, es decir una ingeniería inversa del código en evolución y de las técnicas empleadas por los atacantes, así como de los métodos y notas de rescate utilizados para conseguir el dinero de las víctimas.

En la investigación en la que se analizaron 96 muestras en estado salvaje de este ransomwareque está activo desde 2016, se pudo detectar que los ciberdelincuentes detrás de Matrix van cambiando sus parámetros de ataques a medida que pasa el tiempo, añadiendo nuevos archivos y scripts para desplegar diferentes tareas y cargas útiles en la red.

Al igual que BitPaymerDharma y SamSam, Matrix obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil, una herramienta de acceso remoto integrada para ordenadores con Windows. Sin embargo, a diferencia de estas otras familias de ransomware, Matrix solo se dirige a un único dispositivo en la red, en lugar de extenderse ampliamente a través de una organización.

Las notas de rescate de Matrix están incrustadas en el código del ataque, pero las víctimas no saben cuánto deben pagar hasta que se ponen en contacto con los atacantes. En un principio, los autores de Matrix utilizaban un servicio de mensajería instantánea anónima que se encontraba protegido criptográficamente, llamado bitmsg.me, pero ese servicio se interrumpió, por lo que los autores han vuelto a utilizar cuentas de correo electrónico normales.

Los actores de la amenaza detrás de Matrix exigen el rescate en criptomonedas, pero teniendo como equivalente el valor de dólar, lo que es inusual ya que en estos casos se suele usar solo criptodivisas. No está claro si la demanda de rescate es un intento deliberado de desviar la atención, o simplemente un intento de navegar por los tipos de cambio de criptomonedas que fluctúan de manera incontrolable. Por lo general, los ciberdelincuentes empiezan solicitando 2.500 dólares, pero a medida que las victimas disminuyen su interés por pagar el rescate, la cifra puede finalmente disminuir.

Se podría decir que Matrix es la navaja suiza del mundo del ransomware, con algunas novedades, como su amplia capacidad de analizar y encontrar potenciales víctimas una vez logra entrar en la red. Matrix está evolucionando y aparecen versiones más nuevas a medida que el atacante aprenden de cada ataque.

¿Qué medidas de seguridad implementar contra Matrix?

  • Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol (RDP) y Virtual Network Computing (VNC).
  • Realizar análisis de vulnerabilidades y pruebas de penetración completas y regulares en toda la red.
  • Hacer una autenticación multifactorial para sistemas internos sensibles, incluso para empleados en la LAN o VPN.
  • Crear copias de seguridad offline and offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras, todo a la vez.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa



SI QUIERES LEER EL ARTÍCULO COMPLETO DE Cyber Security, PUEDES HACERLO A aquí.

Phishing esp

Presentamos un artículo muy interesante publicado por OSI, la Oficina de Seguridad del Internauta. Donde conocemos las metodologías del phishing.

Los ciberdelincuentes siempre están intentando obtener información personal y datos bancarios de los usuarios. Una de las técnicas de moda es el phishing. A continuación te mostramos qué es y cómo identificarlo.

Internet es una gran fuente de información y sus servicios como el correo electrónico, banca online, redes sociales, etc. elementos de interés para los “ciberamigos” de lo ajeno. Uno de los principales métodos utilizados por los ciberdelincuentes para robar información es el phishing. Este anglicismo no te resultará extraño ya que hemos hablado de él muchas veces, pero si aún no sabes lo que es no te preocupes, en este artículo te explicaremos qué es y cómo puedes identificarlo para no caer en la trampa.

El “concepto”

Se trata de una técnica usada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima como puede ser un banco, una red social, una entidad pública…

El phishing más común es el que se propaga a través del correo electrónico, aunque los ciberdelincuentes pueden utilizar otros canales para propagar su estafa como son las redes sociales, aplicaciones de mensajería instantáneao SMS.

Independientemente del medio utilizado, el objetivo final siempre es obtener información confidencial: nombres y apellidos, direcciones de correo electrónico, números de identificación personal, número de tarjeta de crédito, etc. Para obtener esta información los ciberdelincuentes generalmente se valen de la ingeniería social y de un enlace que redirige al usuario a una página web fraudulenta que simula ser la web legítima, en algunas ocasiones pueden utilizar documentos adjuntos para perpetrar el hurto de datos.

La “artimaña”

Estos mensajes fraudulentos utilizan todo tipo de argucias para engañar a la víctima y forzar a ésta a tomar una decisión rápidamente o las consecuencias serán negativas como es, por ejemplo, la denegación de un servicio o la pérdida de un regalo o promoción. Las técnicas más utilizadas son:

  • Problemas de carácter técnico de la entidad a la que suplantan.
  • Problemas de seguridad y privacidad en la cuenta del usuario.
  • Recomendaciones de seguridad para evitar fraudes.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Vales descuento, premios o regalos.
  • Inminente cese o desactivación del servicio.

Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales. Esto se debe a que los mensajes son creados por herramientas automatizadas que utilizan funcionalidades de traducción y diccionarios de sinónimos con los que varían los mensajes para que no sean siempre iguales.

El “propósito”

Bancos y cajas

Excusa: actividad anómala en su cuenta, mejoras en las medidas de seguridad, bloqueo de la cuenta por motivos de seguridad, cambio en la normativa del banco, cierre incorrecto de sesión, etc.

Objetivo: obtener información bancaria como son los números de tarjeta de crédito, tarjetas de coordenadas, claves de acceso a banca online, numero PIN, etc.

SMS falso suplantando a Bankia

SMS falso suplantando a Bankia

Pasarelas electrónicas de pago (PayPal, Visa, MasterCard, etc.)

Excusa: muy similares a las utilizadas para suplantar bancos y cajas. Cambio en la normativa del servicio, cierre incorrecto de sesión, mejoras en las medidas de seguridad, detectada actividad anómala, cancelación del servicio, etc.

Objetivo: robar información bancaria y claves de acceso con la que los ciberdelincuentes obtengan un beneficio económico.

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Redes sociales (Facebook, Twitter, Instagram, Linkedin, etc.)

Excusa: alguien te ha enviado un mensaje privado, se ha detectado actividad anómala en la cuenta, por motivos de seguridad es necesario que verifiques las claves de acceso, etc.

Objetivo: robar cuentas de usuario para obtener información personal, suplantación de identidad.

Phishing a Twitter

Phishing a Twitter

Páginas webs de compra/venta y subastas

Excusa: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafarlos económicamente.

Phishing a Amazon

Phishing a Amazon

Juegos online

Excusa: fallos de seguridad en la plataforma, tareas de mantenimiento, actividad anómala detectada en la cuenta del usuario.

Objetivo: robar cuentas de usuario con el fin de obtener datos personales e información bancaria, suplantar la identidad del usuario o pedir un rescate por la cuenta.

Phishing a World of Warcraft (WoW)

Phishing a World of Warcraft (WoW)

Soporte técnico y ayuda de grandes empresas (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: robar cuentas e información personal del usuario.

Phishing a Apple

Phishing a Apple

Servicios públicos

Excusa: informar sobre una notificación, multa, paquete no entregado, reembolso económico, etc.

Objetivo: infectar el dispositivo del usuario con malware, robarle datos personales e información bancaria.

Phishing a la Agencia Tributaria

Phishing a la Agencia Tributaria

Servicios de almacenamiento en la nube

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: obtener credenciales de acceso al servicio para robar información privada del usuario.

Phishing a Google Docs

Phishing a Google Docs

Servicios de mensajería

Excusa: el paquete no ha podido ser entregado al cliente, paquete en espera de ser recogido, información sobre el seguimiento de un paquete.

Objetivo: infectar equipos con malware, robar información personal así como datos bancarios del usuario.

Phishing a DHL

Phishing a DHL

Falsas ofertas de empleo

Excusa: ofertar puestos de trabajo.

Objetivo: robar información personal, información bancaria y dinero.

Oferta falsa de empleo

Oferta falsa de empleo

Vales descuento

Excusa: regalar al usuario un vale descuento, cupón o premio.

Objetivo: obtener información personal del usuario, suscribirlo a listas de publicidad por email o a servicios de SMS Premium, invitarle a descargar aplicaciones, instarle a llamar a números de tarificación especial, instalar malware en su dispositivo.

Vale descuento fraudulento a Mercadona

Vale descuento fraudulento a Mercadona

La “protección”

Afortunadamente, los servicios de correo electrónico más usados (Gmail, Outlook, Yahoo!, etc.) cuentan con sistemas antispam con los que protegen a sus usuarios de la mayoría de ataques de phishing, pero esto solo es válido para el correo.

Entre las medidas de seguridad que podemos aplicar es configurar la opción antiphishing que incorporan los navegadores la cual avisa al usuario cuando está intentando acceder a un sitio web identificado como fraudulento. Las diferentes opciones antiphishing que incorporan los navegadores más usados son:

  • El Filtro SmartScreen de Internet Explorer.
  • Protección contra el Malware y el Phishing en Firefox.
  • Protección contra phishing y software malicioso en Google Chrome.
  • Protección contra la suplantación de identidad (phishing) en Safari.

Legitimidad de un sitio web: esencial para evitar los fraudes.

La mayor parte de los ataques de phishing suplantan a entidades oficiales o empresas reconocidas como son Apple, Google, Facebook, Bancos, etc. Estas empresas por norma general cuentan con un certificado digital que identifica a la organización.

Puede darse el caso que la organización a la que suplantan no disponga de un certificado digital en ciertas partes de la web. En estos casos, siempre recomendamos a los usuarios que si tienen que introducir datos de carácter personal o bancario lo hagan únicamente en páginas a las que se pueda identificar a la identidad que representan por un certificado.

¿Qué debes hacer si detectas un phishing o tienes dudas con una web?

  1. No facilites la información que te solicitan. En caso de duda consulta directamente a la empresa o servicio que representa o ponte en contacto con nosotros para hacernos llegar tu consulta.
  2. No contestes en ningún caso a estos correos.
  3. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto.
  4. Elimínalo y, si lo deseas, alerta a tus contactos sobre este fraude.

Ahora que ya conoces el “concepto”, el “propósito” y la “protección” solo resta que apliques este conocimiento en tu día a día para evitar caer en este tipo de amenaza.

 

SI QUIERES LEER EL ARTÍCULO COMPLETO DE OSI, PUEDES HACERLO A aquí.