Seguridad IT

Modificación inminente del ENS

Reciente publicado el borrador del Proyecto de Real Decreto de modificación del RD 3/2010 en el que se regula el Esquema Nacional de Seguridad, que a pesar de haber tenido una revisión en el 2015, ésta estaba ya bastante desfasada, desde Infordisa hemos decidido hacer una serie de artículos en el que analizaremos la nueva ley en profundidad.

Logo de esquema nacional de seguridad

En este primer artículo hablaremos sobre cómo la inminente modificación de la ley aclara el cómo repartir los diferentes Roles y Responsabilidades en la Entidad, ya que es uno de los temas que más dudas genera la hora de establecer las bases de nuestro SGSI (Sistema de Gestión de Seguridad de la Información) en las entidades con menos pocos recursos como Ayuntamientos de menos de 20.000 habitantes o los Consejos Comarcales.

El Artículo 11 habla sobre la Diferenciación de Responsabilidades de seguridad:

Citamos textualmente:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ahora si, el punto 1 se hace referencia al responsable del sistema, que en la antigua ley RD 3/2010, no salía en el artículo 10: Seguridad como funciones diferenciadas, donde sólo hablaba del Responsable de la Información, Responsable del Servicio y Responsable de la Seguridad. Al aparecer en este artículo indica implícitamente la obligatoriedad de hacer el nombramiento correspondiente, lo que al no aparecer en la antigua versión de la ENS, quedaba en el aire sobre si era obligatorio designarlo o no.

El punto 2, indica que la figura de responsable de seguridad estará diferenciada del responsable de la prestación del servicio (responsable del sistema). Esto, a priori, puede parecer que «complica» las cosas a las administraciones pequeñas y con pocos recursos, donde sólo suele haber una sola persona al frente de las tareas de IT, donde si asume ambas responsabilidades, entraría en claro conflicto con este artículo. No obstante, el artículo 13, nos vuelve a aclarar situaciones como ésta. Citemos de nuevo:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Hasta aquí no indica nada nuevo que no se haya desarrollado en la guía CCN-STIC 801, pero está bien que quede bien especificado en la ley en un artículo. Seguimos:

d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad.

Este punto aclara que en caso de no poder disponer de recursos propios (personal) se podrá externalizar esta responsabilidad a una empresa externa a través de contratación de este servicio, siendo estos los encargados de implementar la seguridad establecida (que previamente habrá decidido el responsable de Seguridad), y de la supervisión en la operación diaria. Hay que matizar que dada la ley de contratación del sector público, si se recurre a externalizar esta figura, se deberá licitar el servicio para la duración que se decida.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que, de manera temporal, ambas funciones recaigan en la misma persona.

Una vez más, recalca que la figura del responsable de seguridad será diferente a la del Responsable del Sistema, pero esta vez «flexibiliza» el incumplimiento del artículo 11 que comentábamos antes, permitiendo que en situaciones en entidades pequeñas con recursos limitados, de forma excepcional, justificada y de manera temporal (y recalcamos temporal), estas figuras pueden recaer sobre la misma persona. Es muy probable que el Auditor que venga a certificar nuestro SGSI, en la primera auditoría nos lo pase indicando que habrá que resolverlo antes de la próxima auditoría externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Este punto se fuerza sorprendente, ya que indica por primera vez que la figura del Responsable de la Seguridad estará Regulada mediante una ITS (Instrucción Técnica de Seguridad), y es más que probable que al igual que ocurre con el DPD, esta figura deberá estar Certificada (CISO) por alguna entidad externa (ENAC, Ecouncil, IQNet, AENOR…), obligando así que esta figura, que tiene la responsabilidad de determinar los requisitos de seguridad, supervisar la seguridad y en definitiva, «dirigir la batuta» del SGSI, esté bien formado y preparado para garantizar la seguridad y bienestar de los sistemas de la información de la entidad.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Este punto habla bastante por sí solo, y es bueno que se tenga que indicar cuáles serán los puntos de contacto con los responsables de seguridad de los servicios externalizados y establecer la metodología de comunicación para garantizar el cumplimiento de la seguridad en los servicios prestados. También da a entender la posibilidad de externalizar la figura del responsable de seguridad, aunque la responsabilidad última recaiga en la propia entidad. Si contextualizamos estos dos puntos con otras leyes de este 2021 como es la 43/2021 en el que entre otras cosas establece las funciones del Responsable de la Seguridad de la Información en las empresas de servicios esenciales, es probable que obtengamos pistas sobre cómo irá esta Instrucción técnica de Seguridad que hace referencia el punto 4.

A Infordisa disponemos de consultores y técnicos especializados, certificados y con gran experiencia para poder asumir tanto la figura de Responsable de la Seguridad como la figura de Responsable del Sistema y al mismo tiempo garantizar el artículo 11: Diferenciación de Responsabilidades. Puede ponerse en contacto con nosotros ya sea a través del siguiente formulario o de uno de nuestros comerciales de Infordisa para obtener más información sobre estos servicios.

¿Necesitas ayuda con el ENS?

inversion-ciberseguridad-2021

La aceleración forzada de la transformación digital y el teletrabajo debido Covid-19 hace crecer el riesgo empresarial frente al cibercrimen y más del 50% de las empresas subirán la inversión para ciberseguridad durante el 2021, según un informe de PwC

Ciberseguridad en la transformación digital

Es evidente que la pandemia del Covid-19 y las restricciones de movilidad han impulsado una aceleración, hasta tres años, de la transformación digital en la sociedad. Al crecer el porcentaje de teletrabajo y la migración de aplicaciones en la nube, también aumenta la superficie de exposición al cibercrimen, donde las empresas quedan más vulnerables a ser víctimas de ciberataques y están obligadas ajustar sus estrategias de ciberseguridad.

“El cloud puiede ser una buena solución para mejorar la ciberseguridad para las empresas pequeñas y medianas”. Jesús Romero -Socio de Business Security Solutions de PwC.

Muchas empresas han decidido migrar sus servicios y sus operaciones en la nube debido a la pandemia.

Ciberataques más comunes

Los ataques más peligrosos para las empresas dirigidos a los servicios en la nube y el ransonware, este último es un tipo de ciberataque en que encriptan unos archivos y los sistemas informáticos piden un rescate económico para recuperar la información. Este es lo que temen más las empresas, ya que puede tener un impacto muy negativo en el negocio. Sin embargo se considera que el cloud será la base sobre la que se construya la nueva generación de soluciones de ciberseguridad.

El ciberiesgo aumentará a pesar de la recesión económica

El problema de la ciberseguridad debe formar parte de los criterios básicos de diseño de cualquier servicio o producto desde su inicio, porque el ciberiesgo está en crecimiento de forma exponencial debido al crimen organizado, a pesar del descenso de económica que se espera por 2021. Este dato sitúa la ciberseguridad en el centro de la toma de decisiones de las empresas.

El crimen organizado cada vez es más consciente de que el cibercrimen le es más rentable y menos peligroso.

“Hay que invertir recursos en concienciar, formar y comunicar en ciberseguridad los trabajadores.” CARLOS MANCHADO ‘Chief Information Security Officer’ de Naturgy.

como_esp

L’ENS es un marco normativo en el que establece unas normas para los que se debe regir un SGSI (Sistema de Gestión de la Seguridad de la Información).

¿Qué es un SGSI? Es un modelo de gestión continuado de la seguridad de la información, Basado en el clásico y Conocido PDCA (Plan-Do-Check-Act) para los que está usando habituados a otros marcos normativos como ISO 9001, 27001, 14001, etc…

Implantar la ENS o cualquier SGSI significa diseñar, implementar y mantener un conjunto de procesos que permiten gestionar de forma eficiente los 5 dimensiones de la seguridad de la información (Disponibilidad, Integridad, Confidencialidad, Trazabilidad y Autenticidad) según a los estándares que marca el framework de esta norma (o cualquier otra como ISO / IEC 27001: 2013, NIST, COBIT…

La ENS centra la gestión sobre las 4 bases del ciclo PDCA:

ens001 esp

 

Pero que debemos considerar antes de adentrarnos en este proyecto? 

Patrocinio y apoyo de las Altas directivas 

Considero que es de vital importancia disponer de un buen patrocinador dentro de la dirección de la empresa, pues implantar un SGSI implicará una serie de gastos, afectará a todos los usuarios del organismo y cambios en cómo trabajar o realizar algunas tareas para muchos ya tan cotidianas que están «viciadas», y serán difíciles de corregir sin un apoyo «desde arriba» (por decirlo suavemente).

Como eso de tener a nuestra organización un directivo que ya está concienciado en seguridad informática y le surja por voluntad propia mejorar la seguridad informática, habrá que hacerlo a la inversa. Se deberá buscar algún aliado en la dirección que comprenda lo que los del gremio informático ya sabemos: que sin la informática, nadie trabaja, ya que cada vez más, todos los procesos del negocio dependen de las TIC.

La ENS (y la ISO / IEC 27001: 2013) quiere un claro compromiso de la alta dirección en la gestión de la seguridad de la información, al tiempo de realizar las auditorías de adecuación / certificación, querrá ver evidencias claras de esto. 

Estructura para tomar decisiones 

La Alta Directiva debe llamar / crear un grupo interdisciplinario encargado de gestionar la seguridad de la información. Este grupo se le conocerá como Comité de Seguridad de la Información (Comité STIC / Comité SI) y debe tomar todas las decisiones trascendentales en materia de Seguridad y que reporte regularmente la dirección del estado de la seguridad. Este Comité no debe ser técnico, sino que involucre a los responsables de los principales departamentos del organismo:
ens002 esp

Finanzas: es necesario que algún responsable de Finanzas esté involucrado en el Comité STIC, ya que al final ellos aprobarán los gastos necesarios para llevar a cabo los proyectos que el SGSI plantee. Candidato: Interventor o Tesorero.

RRHH: muchas medidas de control están enfocadas al personal de la organización (formaciones, normativas de seguridad, etc) por lo tanto hay que tener apoyo de este departamento. Candidato: Responsable RRHH.

Jurídico: constantemente surgirán dudas sobre la legislación y marco legal en el que se afronta el SGSI, y es necesario que alguien que conozca muy bien los aspectos jurídicos de la organización asesore correctamente al Comité STIC. Candidato: Secretario.

Alta Directiva / Gerencia: como máximos responsables de la organización ante cualquier incidente, el objetivo es integrar a miembros de la dirección (incluido el Alcalde en ayuntamientos) dentro del Comité, proporcionando visión del negocio a las decisiones que deberá tomar el Comité, alineándose así con los objetivos estratégicos del negocio o del organismo. Su presencia dentro del comité vez muestra este «Compromiso Formal» en materia de seguridad y involucrándola como un proceso vital en las actividades del organismo. Candidato: Alcaldía / Presidencia / Gerencia.

Informática: Como Departamento responsable de la gestión de la infraestructura IT disponible en el organismo, es necesario que haya un responsable Informático en el Comité STIC. Candidato: Jefe de Informática.

Roles y Responsabilidades

El comité STIC realizará una serie de asignaciones de diferentes Roles y responsabilidades en la seguridad de la Información. En concreto, la ENS desea que se dispongan de mínimo los siguientes roles:

ens003 esp
Responsable de Sistemas: Determina los requisitos (de seguridad) de los servicios prestados según los parámetros de la ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de los servicios disponibles. Responsable de la información: Determina los requisitos (de seguridad) de la información tratada según los parámetros de la ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de la información disponible. NOTA: el Responsable de Sistemas y Responsable de la Información converger en la misma persona, convirtiéndose así en el Responsable de la Información y Sistemas. En algunos casos, esta Responsabilidad puede caer directamente sobre un organismo entero como el propio Comité STIC. Responsable de Seguridad: será el encargado de categorizar el sistema, elaborar la política de seguridad, realizar el Análisis de Riesgos, elaborar el documento de aplicabilidad de la ENS, establecer las medidas de seguridad y elaborar toda la documentación con procedimientos, políticas, normas de uso que serán aprobadas por el Comité y por la dirección. También será el encargado de revisar la puesta en marcha de todos los controles de seguridad y diferentes procedimientos en la operación de la gestión de la seguridad. Finalmente se encargará de elaborar los planes de mejora de la seguridad. Responsable del Sistema: será la mano ejecutora de implementar controles establecidos por el responsable de seguridad, así como la puesta en marcha de los planes de continuidad, gestión de controles de accesos a la información como supervisar las instalaciones de hardware y software velando por a que la seguridad no esté comprometida y que en todo momento se ajustan a las autorizaciones pertinentes. NOTA: La ENS deja en manifiesto que los responsables de la Información y los responsables de la Seguridad, no pueden ser la misma persona.

El ENS contempla que en estructuras muy pequeñas, mínimo tanto, dos personas en los que tendrá los roles de dirección integrando las siguientes funciones:

  • Responsable de la información y servicios
  • Responsable de Seguridad

Operación reportando a dirección e integrando la función de:

  • Responsable del sistema
Aplicacion ens infordisa

El proceso de aplicación del ENS, se aplica con un total de seis fases y se basa en un ciclo de mejora continúa.

El ENS se basa en un ciclo de mejora continúa

El ENS a grandes rasgos consiste en la implantación de un SGSI (Sistema de Gestión de la Seguridad de la Información / en inglés SystemManagement Information System), el cual tendrá que cumplir una serie de requisitos para ser certificado según la ley 11/2007 artículo 42.2 dónde es define el Esquema Nacional de Seguridad.

Ens sgsi esp

Model PDCA de l’ENS​

Utilizamos el modelo estándarPlan, Do, Check, Act, para garantizar la correcto aplicación del ENS. Vemos las fases del modelo PDCA aplicadas al ENS:

Pdca ens esp

Fases del Plan de Adecuación al ENS

A Infordisa, planteamos el plan de adecuación del ENS a partir de 6 fases para garantizar el éxito en la implantación. El proçés de implantación finaliza con el Plan de Mejora del propio Plan de Adecuación, por el que una vez finalizada el Plan de Adecuación, este, siempre se encuentra continúa evolución y actualización.

Fases ens esp
Correo falso

El correo electrónico es sin duda la herramienta de comunicación profesional standard y mas común entre las empresas. Diariamente recibimos infinidad de información mediante este canal y sin duda la mayoria de usuarios no aplicamos las medidas de seguridad mínimas antes de abrir un email de procedencia desconocida. Por este motivo, es un canal muy utilizado por los ciberdelincuentes para

Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.

Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.

¿Cómo accedo a las cabeceras de los correos?

Clientes de correo para Windows

Microsoft Outlook 2016, 2013 y 2010

  1. Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
  2. Seleccionamos la opción Archivo > Propiedades.
Seleccionamos Archivo
Archivo-propiedades
  1. La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.
Muestra cabeceras

Mozilla Thunderbird

  1. Abre el correo que quieras analizar.
  2. Haz clic en los botones «Más» > «Ver código fuente», situado en la parte superior derecha de la ventana.
Ver código fuente
  1. Las cabeceras del correo se mostrarán en una nueva ventana.
Mozilla cabeceras correo

Clientes de correo para Mac

Mail para Mac

  1. Accede al correo del que quieres ver las cabeceras.
  2. Ve a «Visualización» > «Mensaje» > «Todas las cabeceras».
Cabeceras Mail
  1. A continuación, se mostrará la cabecera completa del correo.

Clientes de correo web

Gmail

  1. Abre el correo cuyas cabeceras quieras obtener.
  2. A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».
  3. Haz clic en «Mostrar original».
Correo Gmail mostrar original
  1. La cabecera completa del email se mostrará en una pestaña nueva.

Outlook

  1. Abre el correo que quieres analizar.
  2. A continuación, haz clic en la línea de puntos situada a la derecha de la opción de «Reenviar»
  3. Haz clic en «Ver origen del mensaje».
Hotmail ver origen del mensaje
  1. Las cabeceras se mostrarán en una ventana nueva.

Yahoo

  1. Selecciona el correo cuyas cabeceras quieras visualizar.
  2. A continuación, haz clic en el icono de la línea de puntos > «Ver mensaje sin formato».
Correo Yahoo ver mensaje
  1. La cabecera completa del correo se mostrará en una nueva ventana.

¿Cómo se interpretan las cabeceras?

Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.

Para agilizar esta tarea podemos utilizar herramientas como MessageHeader, que nos facilita la identificación de cada campo de la cabecera, mostrando resultados como los que analizamos en las imágenes siguientes.

Ejemplo de correo legítimo:

Ejemplo de correo legítimo

En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.

En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPFDKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.

Ejemplo de correo ilegítimo:

Ejemplo de correo ilegítimo

El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).

En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.

Los registros DKIM y DMARK no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARK nos están indicando que se trata de un claro ejemplo de email spoofing.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu empresa.

Si quieres leer el artículo completo de Incibe, puedes hacerlo aquí.

Matrix blog esp

Conozcamos Matrix, la nueva amenaza en formato ransomware dirigido la cual exige 2.500€ de rescate para recuperar los datos.

La ciberdelincuencia está evolucionando. Se ha sustituido el bot que producía los devastadores ataques masivos de ransomware como WannaCry o NotPetya por los ciberataques personalizados que hace seguimiento a las víctimas. Tras el aumento de este número de ataques en 2018, que alcanzaron popularidad gracias al éxito económico de SamSamBitPaymer y Dharma, se ha detectado un nuevo ransomware dirigido denominado Matrix que exige rescates por valor de 2.500 euros.

Para entender de qué manera están operando los ciberdelincuentes, SophosLab, el laboratorio donde trabajan los expertos de Sophos ha realizado una deconstrucción de Matrix, es decir una ingeniería inversa del código en evolución y de las técnicas empleadas por los atacantes, así como de los métodos y notas de rescate utilizados para conseguir el dinero de las víctimas.

En la investigación en la que se analizaron 96 muestras en estado salvaje de este ransomwareque está activo desde 2016, se pudo detectar que los ciberdelincuentes detrás de Matrix van cambiando sus parámetros de ataques a medida que pasa el tiempo, añadiendo nuevos archivos y scripts para desplegar diferentes tareas y cargas útiles en la red.

Al igual que BitPaymerDharma y SamSam, Matrix obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil, una herramienta de acceso remoto integrada para ordenadores con Windows. Sin embargo, a diferencia de estas otras familias de ransomware, Matrix solo se dirige a un único dispositivo en la red, en lugar de extenderse ampliamente a través de una organización.

Las notas de rescate de Matrix están incrustadas en el código del ataque, pero las víctimas no saben cuánto deben pagar hasta que se ponen en contacto con los atacantes. En un principio, los autores de Matrix utilizaban un servicio de mensajería instantánea anónima que se encontraba protegido criptográficamente, llamado bitmsg.me, pero ese servicio se interrumpió, por lo que los autores han vuelto a utilizar cuentas de correo electrónico normales.

Los actores de la amenaza detrás de Matrix exigen el rescate en criptomonedas, pero teniendo como equivalente el valor de dólar, lo que es inusual ya que en estos casos se suele usar solo criptodivisas. No está claro si la demanda de rescate es un intento deliberado de desviar la atención, o simplemente un intento de navegar por los tipos de cambio de criptomonedas que fluctúan de manera incontrolable. Por lo general, los ciberdelincuentes empiezan solicitando 2.500 dólares, pero a medida que las victimas disminuyen su interés por pagar el rescate, la cifra puede finalmente disminuir.

Se podría decir que Matrix es la navaja suiza del mundo del ransomware, con algunas novedades, como su amplia capacidad de analizar y encontrar potenciales víctimas una vez logra entrar en la red. Matrix está evolucionando y aparecen versiones más nuevas a medida que el atacante aprenden de cada ataque.

¿Qué medidas de seguridad implementar contra Matrix?

  • Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol (RDP) y Virtual Network Computing (VNC).
  • Realizar análisis de vulnerabilidades y pruebas de penetración completas y regulares en toda la red.
  • Hacer una autenticación multifactorial para sistemas internos sensibles, incluso para empleados en la LAN o VPN.
  • Crear copias de seguridad offline and offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras, todo a la vez.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa



SI QUIERES LEER EL ARTÍCULO COMPLETO DE Cyber Security, PUEDES HACERLO A aquí.

Phishing esp

Presentamos un artículo muy interesante publicado por OSI, la Oficina de Seguridad del Internauta. Donde conocemos las metodologías del phishing.

Los ciberdelincuentes siempre están intentando obtener información personal y datos bancarios de los usuarios. Una de las técnicas de moda es el phishing. A continuación te mostramos qué es y cómo identificarlo.

Internet es una gran fuente de información y sus servicios como el correo electrónico, banca online, redes sociales, etc. elementos de interés para los “ciberamigos” de lo ajeno. Uno de los principales métodos utilizados por los ciberdelincuentes para robar información es el phishing. Este anglicismo no te resultará extraño ya que hemos hablado de él muchas veces, pero si aún no sabes lo que es no te preocupes, en este artículo te explicaremos qué es y cómo puedes identificarlo para no caer en la trampa.

El “concepto”

Se trata de una técnica usada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima como puede ser un banco, una red social, una entidad pública…

El phishing más común es el que se propaga a través del correo electrónico, aunque los ciberdelincuentes pueden utilizar otros canales para propagar su estafa como son las redes sociales, aplicaciones de mensajería instantáneao SMS.

Independientemente del medio utilizado, el objetivo final siempre es obtener información confidencial: nombres y apellidos, direcciones de correo electrónico, números de identificación personal, número de tarjeta de crédito, etc. Para obtener esta información los ciberdelincuentes generalmente se valen de la ingeniería social y de un enlace que redirige al usuario a una página web fraudulenta que simula ser la web legítima, en algunas ocasiones pueden utilizar documentos adjuntos para perpetrar el hurto de datos.

La “artimaña”

Estos mensajes fraudulentos utilizan todo tipo de argucias para engañar a la víctima y forzar a ésta a tomar una decisión rápidamente o las consecuencias serán negativas como es, por ejemplo, la denegación de un servicio o la pérdida de un regalo o promoción. Las técnicas más utilizadas son:

  • Problemas de carácter técnico de la entidad a la que suplantan.
  • Problemas de seguridad y privacidad en la cuenta del usuario.
  • Recomendaciones de seguridad para evitar fraudes.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Vales descuento, premios o regalos.
  • Inminente cese o desactivación del servicio.

Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales. Esto se debe a que los mensajes son creados por herramientas automatizadas que utilizan funcionalidades de traducción y diccionarios de sinónimos con los que varían los mensajes para que no sean siempre iguales.

El “propósito”

Bancos y cajas

Excusa: actividad anómala en su cuenta, mejoras en las medidas de seguridad, bloqueo de la cuenta por motivos de seguridad, cambio en la normativa del banco, cierre incorrecto de sesión, etc.

Objetivo: obtener información bancaria como son los números de tarjeta de crédito, tarjetas de coordenadas, claves de acceso a banca online, numero PIN, etc.

SMS falso suplantando a Bankia

SMS falso suplantando a Bankia

Pasarelas electrónicas de pago (PayPal, Visa, MasterCard, etc.)

Excusa: muy similares a las utilizadas para suplantar bancos y cajas. Cambio en la normativa del servicio, cierre incorrecto de sesión, mejoras en las medidas de seguridad, detectada actividad anómala, cancelación del servicio, etc.

Objetivo: robar información bancaria y claves de acceso con la que los ciberdelincuentes obtengan un beneficio económico.

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Redes sociales (Facebook, Twitter, Instagram, Linkedin, etc.)

Excusa: alguien te ha enviado un mensaje privado, se ha detectado actividad anómala en la cuenta, por motivos de seguridad es necesario que verifiques las claves de acceso, etc.

Objetivo: robar cuentas de usuario para obtener información personal, suplantación de identidad.

Phishing a Twitter

Phishing a Twitter

Páginas webs de compra/venta y subastas

Excusa: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafarlos económicamente.

Phishing a Amazon

Phishing a Amazon

Juegos online

Excusa: fallos de seguridad en la plataforma, tareas de mantenimiento, actividad anómala detectada en la cuenta del usuario.

Objetivo: robar cuentas de usuario con el fin de obtener datos personales e información bancaria, suplantar la identidad del usuario o pedir un rescate por la cuenta.

Phishing a World of Warcraft (WoW)

Phishing a World of Warcraft (WoW)

Soporte técnico y ayuda de grandes empresas (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: robar cuentas e información personal del usuario.

Phishing a Apple

Phishing a Apple

Servicios públicos

Excusa: informar sobre una notificación, multa, paquete no entregado, reembolso económico, etc.

Objetivo: infectar el dispositivo del usuario con malware, robarle datos personales e información bancaria.

Phishing a la Agencia Tributaria

Phishing a la Agencia Tributaria

Servicios de almacenamiento en la nube

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: obtener credenciales de acceso al servicio para robar información privada del usuario.

Phishing a Google Docs

Phishing a Google Docs

Servicios de mensajería

Excusa: el paquete no ha podido ser entregado al cliente, paquete en espera de ser recogido, información sobre el seguimiento de un paquete.

Objetivo: infectar equipos con malware, robar información personal así como datos bancarios del usuario.

Phishing a DHL

Phishing a DHL

Falsas ofertas de empleo

Excusa: ofertar puestos de trabajo.

Objetivo: robar información personal, información bancaria y dinero.

Oferta falsa de empleo

Oferta falsa de empleo

Vales descuento

Excusa: regalar al usuario un vale descuento, cupón o premio.

Objetivo: obtener información personal del usuario, suscribirlo a listas de publicidad por email o a servicios de SMS Premium, invitarle a descargar aplicaciones, instarle a llamar a números de tarificación especial, instalar malware en su dispositivo.

Vale descuento fraudulento a Mercadona

Vale descuento fraudulento a Mercadona

La “protección”

Afortunadamente, los servicios de correo electrónico más usados (Gmail, Outlook, Yahoo!, etc.) cuentan con sistemas antispam con los que protegen a sus usuarios de la mayoría de ataques de phishing, pero esto solo es válido para el correo.

Entre las medidas de seguridad que podemos aplicar es configurar la opción antiphishing que incorporan los navegadores la cual avisa al usuario cuando está intentando acceder a un sitio web identificado como fraudulento. Las diferentes opciones antiphishing que incorporan los navegadores más usados son:

  • El Filtro SmartScreen de Internet Explorer.
  • Protección contra el Malware y el Phishing en Firefox.
  • Protección contra phishing y software malicioso en Google Chrome.
  • Protección contra la suplantación de identidad (phishing) en Safari.

Legitimidad de un sitio web: esencial para evitar los fraudes.

La mayor parte de los ataques de phishing suplantan a entidades oficiales o empresas reconocidas como son Apple, Google, Facebook, Bancos, etc. Estas empresas por norma general cuentan con un certificado digital que identifica a la organización.

Puede darse el caso que la organización a la que suplantan no disponga de un certificado digital en ciertas partes de la web. En estos casos, siempre recomendamos a los usuarios que si tienen que introducir datos de carácter personal o bancario lo hagan únicamente en páginas a las que se pueda identificar a la identidad que representan por un certificado.

¿Qué debes hacer si detectas un phishing o tienes dudas con una web?

  1. No facilites la información que te solicitan. En caso de duda consulta directamente a la empresa o servicio que representa o ponte en contacto con nosotros para hacernos llegar tu consulta.
  2. No contestes en ningún caso a estos correos.
  3. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto.
  4. Elimínalo y, si lo deseas, alerta a tus contactos sobre este fraude.

Ahora que ya conoces el “concepto”, el “propósito” y la “protección” solo resta que apliques este conocimiento en tu día a día para evitar caer en este tipo de amenaza.

 

SI QUIERES LEER EL ARTÍCULO COMPLETO DE OSI, PUEDES HACERLO A aquí.

 

Ciberseguridad dummies esp

Son muchas las definiciones para la ciberseguridad. Pero, ¿Que es realmente la ciberseguridad? La explicamos para dummies.

¿QUÉ ES LA CIBERSEGURIDAD?

Es la seguridad de las tecnologías de la información. La ciberseguridad engloba un gran número de técnicas, métodos y elementos que buscan garantizar los tres principios básicos: Confidencialidad, disponibilidad e integridad.

¿EN QUE CONSISTE?

Cada vez mas internet es una herramienta necesaria en los dispositivos que permiten el desarrollo de nuestros negocios a todos los niveles (líneas de producción de una fábrica, gestión comercial, recursos humanos o gestión sanitaria). Por lo tanto se imprescindible una comunicación segura y robusta entre todos estos dispositivos, personas y empresas. Sobre todos estos dispositivos, se definen y se implementan diferentes elementos y métodos de protección a varios niveles, para que sean capaces de prevenir y mitigar diferentes ataques de forma efectiva, y en el peor de los casos, recuperarse satisfactoriamente en el menor tiempo posible.

¿QUÉ IMPORTANCIA TIENE?

La información es lo que tiene más valor de nuestras empresas, y que esta sea expuesta públicamente en internet o innaccessible durante un periòde de tiempo, nos puede suponer grandes pérdidas económicas. Qué pasa si no puedo acceder a las facturas que tengo que girar a final de mes para ser cobradas? Y si el sistema de nominas falla la semana que los trabajadores tienen que
cobrar? O si mi base de datos del stock de la tienda se innaccessible durante una semana? No somos conscientes de la importancia que tenemos de nuestros sistemas informáticos, hasta que no nos encontramos en la situación de no poder disponer de ellos.

Si quieres, puedes descargarte la Guía esencial de ciberseguridad 2019 a aquí.

 

Unboxing hpe simplivity380

En este artículo, desde Infordisa presentamos HPE SimpliVity 380 Gen10.

Presentamos el unboxing y las principales presentaciones técnicas de HPE SimpliVity 380 Gen10.

Desde Infordisa, siempre estamos en vanguardia de las novedades y tendencias IT. En esta línea, la inginier preventa de Infordisa, nos presenta de primera mano la nueva HPE SimpliVity 380 Gen10.

HPE SimpliVity 380 proporciona a los líderes de TI la agilidad y economía de la nube, con la gobernanza y la gestión de la TI local. Ofrece una potente solución hiperconvergente capaz de ejecutar algunos de los centros de datos más eficientes y con mayor resiliencia del mundo1. Esta solución simplifica considerablemente la TI mediante la combinación de infraestructuras y servicios de datos avanzados para cargas de trabajo virtualizadas en la plataforma de servidor más vendida del mercado. También ofrece un conjunto completo de funciones avanzadas que permite espectaculares mejoras en la eficiencia, gestión, protección y rendimiento de las cargas de trabajo virtualizadas por una fracción de los costes y de la complejidad del conjunto de infraestructuras tradicionales2 de hoy día.

Novedades

  • Puede escalar hasta 96 nodos
  • Ampliable rango de procesadores escalables Intel® Xeon®
  • Se puede federar el apoyo de la Federación heterogénea (los grupos de SimpliVity 380 Gen9 / Gen10 y el legado SimpliVity clústeres de SimpliVity 2600 Gen10)
  • Apoyo de cifrado de datos opcional
  • Apoyo RapidDR opcional

Escalable y configurable

  • Ampliable en 1 nodo incrementa hasta 96 nodos totales *
  • Procesador – Elección de los procesadores escalables Intel® Xeon®
  • Memoria: de 144 GB a 1536 GB (por nodo)
  • Red – 10Gb, 1Gb
  • Potencia: redundante
  • Software de virtualización y licencias
  • Todo en un factor de forma compacto 2U

Características del software

  • VMware vSphere
  • Extensión de gestión de HPE SimpliVity por VMware vCenter
  • Microsoft Hyper-V QuickSpecs