Explicando nuestros servicios (I): la auditoría
Muchos de nuestros posibles nuevos clientes que contactan con nosotros lo hacen de una forma muy cauta. Están reticentes a explicar algunas de las cosas de su empresa y al mismo tiempo están un poco asustados. Asustados porque muchas veces llegan a TECNOideas tras haber visto alguna empresa de su sector, incluso alguna empresa de la competencia, que ha tenido un problema de ciberseguridad. Es absolutamente normal esta prudencia, porque es difícil someter una empresa a unos desconocidos y más si tenemos en cuenta que vamos a hablar de una serie de servicios que en la mayoría de casos suenan a chino. Por todo ello queremos explicar algunas cosas que ayuden a despejar las dudas de nuestros posibles nuevos clientes.
1.- Si ya tengo un departamento propio de tecnología o lo tengo subcontratado, ¿por qué tengo que contratar servicios de ciberseguridad?
La ciberseguridad es una especialización en sí misma, un coadyuvante necesario para aumentar considerablemente la seguridad de cualquier empresa. Por ello no basta con tener una serie de equipos tecnológicos de última generación, ni tener un servidor externo alojado en una empresa reconocida, ni poner un cortafuegos o un antivirus y añadir un seguro de ciberiesgo. Sobre los seguros os recomendamos la lectura de dos artículos de este blog: Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo publicado en el mes de abril y Seguros de ciberriesgo, ¡no os la juguéis a una sola carta! que publicamos en agosto.
Lo ideal sería que cuando una empresa contratara los servicios tecnológicos también contratara a una empresa de ciberseguridad. ¿Cuál sería su papel? Analizar y consensuar los planes de futuro de la empresa; el riesgo que quiera asumir y dotar a la ciberseguridad de un presupuesto propio. Lo que debería aportar la empresa de ciberseguridad, entre otras cosas, es un plan de prevención continuo.
2.- Nuestra empresa ya funciona desde hace años y nunca hemos tenido un problema de ciberseguridad. ¿Cómo podemos saber el estado real de nuestros sistemas?
Seguramente vuestro proveedor tecnológico ha ido actualizando los programas de sus equipos. Pero los ciberdelincuentes son muy astutos y no siempre somos conscientes de la sofisticación a la que pueden llegar. Por ello lo primero que debe hacer una buena empresa de ciberseguridad es una AUDITORÍA.
Las auditorías deberían realizarse, como mínimo una vez al año en cualquier tipo de empresa, ya que los activos y las tecnologías cambian muy rápido, al igual que las vulnerabilidades.
Estamos hablando de auditorías técnicas, tanto de la empresa como de los equipos de los trabajadores, lo que se conoce como hacking social. Hablamos de ordenadores, tabletas, portátiles, smartphones, conexiones domiciliarias en caso de teletrabajo, etc. Con una auditoría podemos evaluar perfectamente la situación real de su empresa y descubrir las vulnerabilidades de sus sistemas. Presentaremos un informe técnico (para el departamento tecnológico) y otro informe ejecutivo para la dirección.
«Las auditorías de ciberseguridad deberían realizarse, como mínimo,
una vez al año en cualquier tipo de empresa.»
A partir de aquí debe ser el departamento de tecnología de la información de su empresa el que deba solucionar las vulnerabilidades recogidas. Por supuesto que, en caso de ser necesario, TECNOideas asesorará en todo momento a este departamento.
Tras la corrección de las vulnerabilidades volveríamos a revisar todo el sistema para obtener nuestro visto bueno definitivo. Con él, recomendamos planes de futuro, a 6, 12 o 24 meses, siempre hablando con la dirección y participando, como mínimo como oyentes, de los planes empresariales, haciendo nuestras recomendaciones y trabajando con la sección de tecnologías de la información.
3.- ¿Es necesario que nuestros trabajadores conozcan los riesgos?
TECNOideas tiene una importante sección dedicada a la formación. La gran mayoría de problemas de ciberseguridad llegan a través de los empleados, porque desconocen unos principios básicos de ciberseguridad y porque en una empresa u organización tienen que aplicarse estrictamente. Es absolutamente necesario que todos los trabajadores de la empresa conozcan una serie de riesgos básicos, fáciles de evitar.
En TECNOideas tenemos cursos de diferentes niveles, según al acceso que tiene cada trabajador a los sistemas informáticos y documentación de la empresa. El más básico es un curso de 4 horas que podemos hacer en la modalidad que prefiera: on line o en la propia empresa.
«TECNOideas puede realizar una auditoría de vuestros sistemas
de forma independiente, sea cual sea el equipo tecnológico
que vuestra empresa haya escogido.»
4.- ¿Mi empresa puede contratar el servicio de auditoría exclusivamente? ¿Sin tener que comprometernos a contratar más servicios de ciberseguridad? ¿Se incrementaría mucho el presupuesto destinado a las TIC?
TECNOideas puede ofrecer este servicio de forma independiente, por supuesto. Confiamos en los profesionales tecnológicos que ha escogido su empresa. La ciberseguridad es un complemento. Y nos gusta recordar que el presupuesto de ciberseguridad no es un gasto, sino una inversión. Los presupuestos de TECNOideas son personalizados y van a depender del tipo de empresa, porque podemos ofrecer precio por equipo de trabajo. No es lo mismo una pyme de 25 trabajadores que una empresa de 500 trabajadores. Pero en cualquier caso, una auditoría no viene a costar más del sueldo medio mensual de un trabajador de la empresa.
Imagen principal: kalhh en Pixabay
Si queréis saber más exactamente los detalles de una auditoría, contactad con nosotros AQUÍ.
- Publicado en Formación, General, Servicios, Sobre TECNOideas
¿Virus solo en Windows? ¡Claro que no!
Una de las cosas que no nos cansamos de repetir es que no debemos caer en que el árbol no nos deje ver el bosque. Así que hay una tendencia a pensar que Windows es el sistema más vulnerado. Pero no se debe a que sea más fácilmente atacable, sino que se debe a que es el más extendido. Evidentemente hay opciones «malignas» para todos los demás sistemas operativos. O casi todos, porque hay sistemas minoritarios que no captan la atención de los delincuentes. Así que fuera leyendas urbanas y tened muy presente que entre los sistemas que se creen erroneamente invulnerables, dicho por usuarios, tenemos MacOs, o también Linux.
Del primero ya hemos hablado muchas veces, como en este artículo de hace ahora un año, pero de Linux poco, y eso que es el que más usamos, tanto en el día a día, como en trabajos técnicos. Últimamente hemos visto noticias y artículos explicando vulnerabilidades y malware, hecho exprofeso para estos sistemas. Pero debemos deciros que un documento del CCN-Cert nos ha llamado especialmente la atención.
Dicho articulo detalla un malware del tipo ransomware para entornos Linux (ELF64), de la familia RansomEXX, o EXX , también conocido como Defray777 o RansomX.
Lleva circulando y actuando desde el año 2018 y algunos de los casos más sonados han sido:
- Mayo de 2020: el sistema judicial y el Departamento de Transporte del estado de Texas.
- Julio de 2020: la multinacional japonesa Konica Minolta.
- Noviembre de 2020: el sistema judicial de Brasil.
- Finales de 2020: la empresa brasileña Embraer, conocida por ser uno de los mayores fabricantes de aviones civiles de la actualidad. Aparte del cifrado correspondiente, filtraron sus datos, ya que fue víctima de la doble extorsión, tan común últimamente.
Una de las vías de entrada ha sido aprovechar vulnerabilidades en el producto de virtualización VMware, que suele albergar una gran cantidad de máquinas Linux, e infecta los discos duros virtuales.
El modus operandi de los ciberdelincuentes es siempre el mismo: en cada directorio afectado se creará un fichero con el nombre “!NEWS_FOR_EIGSI!.txt” en donde se indican las instrucciones para recuperar los ficheros cifrados.
Si las víctimas pagan el rescate, recibirán una herramienta (decryptor64) con la clave privada correspondiente, con lo que podrán recuperar los ficheros cifrados.
Así pues, si tenéis máquinas Linux, tanto virtuales como físicas, no creáis que son invulnerables.
Y en consecuencia, hay que prepararse adecuadamente. Nuestras recomendaciones:
– Hay que tener siempre un inventario de todo el software, y ver y comparar las vulnerabilidades que vayan apareciendo, para aplicar los parches correspondientes si los necesitáis.
– Tener bien planificadas las copias de seguridad y los planes de impacto y de respuesta a incidentes. De esta forma un ransomware puede ser un problema, pero no EL PROBLEMA definitivo, y el negocio se vea afectado lo mínimo, y no tenga que cerrar.
Esperamos que con este artículo tengáis claro que ¿Virus solo en Windows? ¡Claro que no! Y si no tenéis un responsable que se ocupe, siempre podéis confiar en un profesional que os ayude con todos estos temas, como un servicio externo, pero como si trabajara dentro de vuestra organización. Nosotros estamos aquí para lo que necesitéis.
Imagen principal: Pete Linforth en Pixabay
- Publicado en General, Noticias, Seguridad, Sistemas operativos
Y los ganadores del CTF de IntelCon2021 son…
Si nos habéis seguido este mes, ya sabréis que nos gustan los juegos y la gamificación. Y que hemos seguido muy atentamente el desarrollo de IntelCon 2021, el congreso online de ciberinteligencia. Este evento ha contado con nuestra colaboración en forma de patrocinio pero también nos hemos involucrado en su CTF.
CTF son las siglas de Capture The Flag, o sea «Captura la bandera». Detrás de este un tanto pomposo nombre se esconden competiciones gratuitas que ponen a prueba las habilidades de hacking de los participantes.
En estos juegos competitivos, la flag no es más que un código que permite confirmar a la plataforma de la competición que hemos resuelto el reto.
El sistema permite que varios equipos puedan resolver el reto, pero… ¡el tiempo cuenta!, de manera que el equipo ganador es el primero que lo consigue. En el caso que nos ocupa, el CTF comenzó el lunes 6 de septiembre y se alargó hasta el domingo 12. El anuncio de los ganadores tuvo lugar el lunes 13 de septiembre.
Como podéis ver en el gráfico de abajo, la competición fue muy reñida, y eso demuestra el gran nivel que hubo en el CTF. Eso también significa que en el panorama nacional e internacional hay mucho nivel en cuanto a ciberinteligencia. ¡¡¡No solo los malos son listos!!!
Y los ganadores del CTF de IntelCon2021 son…
Vale, sí, no nos enrollamos más, porque ha llegado el momento de los reconocimientos, así que nuestra enhorabuena a la organización del CTF que estuvo de 10: la comunidad de ciberinteligencia Ginseg y ZeroLynx, un grupo empresarial español especializado en ciberseguridad. Nuestra felicitación también va para la perfecta organización de todas las jornadas de #Intelcon2021.
El CTF fue un verdadero éxito. Participaron 181 usuarios que tuvieron que superar un total de 11 retos globales y 28 subretos (8 fáciles, 14 de nivel medio y 6 altos).
La clasificación final la podéis consultar AQUÍ.
En cuanto a los premios:
- Primer Premio (usuario sh@dow85ec): beca parcial en el Máster de Ciberinteligencia organizado por Campus Internacional de Ciberseguridad y ENIIT y homologado por la Universidad Francisco de Vitoria.
Además, el primer clasificado también ganará un curso forense de TECNOideas 2.0 ciberseguridad. - Segundo Premio (usuario HariSeldon): descuentos de un 50% o en su totalidad en cursos de formación con Inteligencia más Liderazgo (I+L) sobre OSINT, SOCMINT, HUMINT, Técnicas de Análisis de Inteligencia y Contrainteligencia.
- Tercer Premio (usuario spiderlan80): descuentos de un 50 % o en su totalidad en cursos técnicos sobre Ciberinteligencia en Cyber Hunter Academy.
- Cuarto Premio (usuario c3nt4ur0): un curso del ITCA Cybersecurity Fundamentals de ISACA (los materiales y el examen, no están incluidos).
Ya están disponibles todos los vídeos de IntelCon 2021
En nuestros artículos anteriores sobre el congreso de inteligencia y en la entrevista a dos de los organizadores de IntelCon 2021 ya os avanzábamos que el contenido de las jornadas estaría disponible en el canal de YouTube del congreso. Pues bien, si os perdisteis alguna de las jornadas o si queréis volver a ver alguna de las intervenciones, ya están disponibles.
- Día 1️⃣: https://youtu.be/Wlki3P0dv7E
- Día 2️⃣: https://youtu.be/T4-KLd1ezG4
- Día 3️⃣: https://youtu.be/h8y09ZK-aIk
- Día 4️⃣: https://youtu.be/XKUn9tbTZ8c
- Día 5️⃣: https://youtu.be/IMhMZb4WR6c
- Publicado en Análisis forense, Evento, General, Noticias
La gamificación en el aprendizaje
Jugar es un derecho incuestionable y una necesidad de la infancia. El juego estimula todas las dimensiones del desarrollo humano: desde lo corporal y cognitivo hasta lo afectivo y comunicativo. De hecho, es una necesidad de todos los mamíferos. No hay más que contemplar unos cachorros de cualquier especie animal para darse cuenta de ello. A través del juego aprendemos y por eso cada vez se incorpora más la gamificación en el aprendizaje.
La gamificación es una técnica de aprendizaje que se basa en llevar la mecánica de algunos juegos al ámbito profesional y también al educativo.
Con ella se obtienen mejores resultados, ya que se absorben mejor los conocimientos. Naturalmente en nuestro sector todo ello va ligado a los videojuegos. Los números de esta industria, según la Asociación Española de Videojuegos (AEVI) son espectaculares. En nuestro país da trabajo directo a 9.000 personas y genera un impacto económico de 3.577 millones, calculándose que 16 millones de españoles juegan a videojuegos.
En TECNOideas siempre hemos sido partidarios de que se estudie algo que realmente guste. Pero es importante que la formación se ofrezca de una forma amena y divertida. Aunque sea competitiva y se base en retos y logros. Estamos convencidos que con estos parámetros se aprende mucho mejor.
A esta metodología de aprender o de enseñar, se le ha llamado gamificación del aprendizaje. Algunos creen que hay connotaciones negativas con los «juegos». Pero la verdad es que muchos profesionales tecnológicos, que rozan los 50 años de edad, han crecido con videojuegos, desde su origen, en recreativos y en versión casera. Un buen ejemplo de ello es nuestro propio CEO y mirad, muy mal no le ha ido.
Además los juegos son aptos para todas las edades. Tan solo hay que buscar el adecuado para cada edad o grupo. El ejemplo del desarrollo de todo tipo de juegos de mesa es el mejor ejemplo.
Estamos en el mes de «la vuelta al cole» y debemos reconocer que la tecnología tiene cada vez más papel en las aulas. Sobre todo con la pandemia. Y ya pocos docentes se cuestionan que el juego es una de las formas principales de aprender e integrar conocimientos. El resultado de juntar las necesidades formativas con videojuegos es que se han desarrollado aplicaciones específicas de videojuegos sobre las diversas asignaturas del plan educativo. En general, lo que se busca es que los alumnos vayan cumpliendo metas a través de obtener pequeñas recompensas. Y de esta forma, se han integrado conceptos como «pasar al siguiente nivel», «obtener vidas» o «ganar puntos».
Los expertos aplauden la gamificación escolar y, sobre todo, universitaria, asegurando que desarrolla el razonamiento analítico y por tanto, la capacidad de solucionar problemas, algo que las empresas demandan cada vez más.
Quizá por eso mismo han tenido tanto éxito los Escape Room, que no son más que juegos de aventuras físicas y mentales. En España existen un millar de empresas que se dedican a ello. Y ya se han agrupado en la Asociación Española de Juegos en Vivo Escape Room (AEJEVER).
Que el tema esta de moda, o en boca de todos, no es cuestionable. Recientemente en el congreso Intelcon2021, organizado por Ginseg, comunidad de ciberinteligencia, pudimos ver una ponencia sobre este tema. Tuvo lugar el lunes 30 de agosto a las 18:25 horas de España, de mano de José Dugarte, CEO y fundador de la empresa venezolana GlobalGIS. El título de su ponencia fue «Empleo de la Gamificación y los Juegos Serios en el adiestramiento de Operadores, Analistas y Planificadores de Ciberinteligencia». El resumen de su ponencia es el siguiente:
Las actividades de Ciberinteligencia, implican una alta exposición al estrés ocasionado en cada una de las situaciones que vive un operador, analista o planificador durante el desarrollo del Ciclo de Inteligencia. Este estrés se incluye en los procesos de adiestramiento, que de alguna u otra manera se pudiesen tornar aburridos y rutinarios perturbando el proceso de aprendizaje.
En este sentido, se presenta una metodología a la que se denominó SEGA (Sistema de Excelencia por Gamificación), la cual tiene como fin principal, el empleo de la Gamificación y los Juegos Serios en el adiestramiento de Operadores, Analistas y Planificadores, cumpliendo unos principios específicos para garantizar la excelencia en el desempeño de los elementos que ejecutarán las operaciones de Ciberinteligencia en cada una de las fases del Ciclo de Inteligencia y en los distintos niveles de decisión.
Como veis, la gamificación también se puede aplicar a la ciberinteligencia y a la ciberseguridad. Por suerte, si os perdisteis esta ponencia, la podéis ver en su canal de Youtube, AQUÍ, a partir de la marca de tiempo 2:00:25.
¡Quiero estudiar ciberseguridad!
No todos los años comienzan el 1 de enero. Porque hay muchos años en nuestro mundo. Y no hablamos de los calendarios de otras culturas, sino de algo mucho más cercano, como el año escolar, que naturalmente tiene su inicio en septiembre. Por eso hemos querido hoy explicaros que la demanda de estudios de ciberseguridad va en aumento. Y las opciones de formación, también.
Diversos análisis preveían que las ofertas de trabajo en ciberseguridad en el año 2022 se triplicarán. Los cálculos realizados por el Centro para la Ciberseguridad y Educación (ISC)2 en 2017 indicaban que en el 2022 habría 1,8 millones de empleos sin cubrir en todo el mundo. De ellos, 350.000 en Europa. En este artículo del diario EL PAÍS tenéis más información sobre ello.
La siempre mal tratada Formación Profesional, una gran vía
Para empezar debemos reivindicar la Formación Profesional. Aparte de que siempre ha tenido mala fama, se ha dicho de ella que solo la hacen los estudiantes «malos», los que que no pueden hacer bachillerato y carrera.
La administración no ha ayudado y ha sido ninguneada por todos los gobiernos de las últimas legislaciones. Y como muestra un botón: el Consejo de Ministros de esta semana ha aprobado el anteproyecto de la nueva ley de FP. La anterior era del año 2002. Y una de las cosas que persigue es una buena inserción laboral. Si queréis tener más información sobre la nueva Ley, podéis leer este artículo de Business Insider. O si lo preferís, podéis ver la nota de prensa del Ministerio AQUÍ. Porque ya es hora de reconocer que siempre ha sido, y será, una gran alternativa para quien quiere estudiar algo sin demasiada paja. Y una vía de acceso laboral muy interesante, como ha demostrado la FP Dual.
El caso que nos ocupa es la ciberseguridad, como no, con presencia en la Formación Profesional desde hace años.
Primero se accedía a ella a través de la rama de informática y comunicaciones, con un curso de Administración de Sistemas Informáticos en Red, de dos años de duración. Tenéis la información del Ministerio de Educación y Formación Profesional AQUÍ.
El mercado manda y desde no hace muchos años, la ciberseguridad alcanzó su mayoría de edad con un Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información. Los requisitos de acceso, a esta especialización, el plan de formación y las posibles salidas profesionales los tenéis en la web del Ministerio de Educación y Formación Profesional.
En la misma web podéis ver el listado de centros que imparten esta especialización por comunidades autónomas.
También el INCIBE se ha preocupado de informar a las personas que quieren estudiar ciberseguridad. Y ha desarrollado dos catálogos, actualizados a abril 2021.
• Catálogo de instituciones que ofrecen formación en ciberseguridad en España. Recoge los 120 centros donde esta disciplina está presente de alguna manera.
• Catálogo de másteres de ciberseguridad. Recoge un total de 76 programas de másteres y tres grados.
Como sabéis, la formación es una parte importante de nuestro día a día, por lo que en TECNOideas conocemos el tema, y los cursos que se imparten a los estudiantes. Por eso intentamos ayudar a los centros de Formación profesional, dando nuestro particular punto de vista, y poniendo nuestra experiencia a su abasto.
Tanto es así que desde hace un par de años, damos refuerzo al profesorado de varios institutos, tanto de Cataluña, como del resto de España. Lo podéis ver AQUÍ.
Nos ocupamos de temáticas como análisis forense, Osint, hacking ético, etc. Todas ellas están incluidas en estas formaciones, y por lo tanto también acaban por llegar a los alumnos.
Es una formación online o presencial, compuesta de varios paquetes de diferentes horas de formación y adaptables a las necesidades de los docentes de cada centro.
También os recordamos que tenemos varios cursos de formación, los básicos de 4 horas, abiertas a todo el mundo que quiera tener unas nociones de ciberseguridad y otros más específicos y profesionalizados, de entre 12 y 24 horas, sobre temas como forense informático, aplicación de machine learning a la ciberseguridad, pentesting con Python o con Metasploit, etc. Los podéis ver AQUÍ.
Así que ya tenéis un poco más de información sobre las opciones de estudio de la ciberseguridad. De esta forma no os sorprenderá cuando vuestra hija (sí, cada vez hay más mujeres que se ocupan de la ciberseguridad) o vuestro hijo os diga eso tan manido de ¡Quiero estudiar ciberseguridad!
Y al fin, multa a Zoom
Una de las empresas que más ha sonado durante la pandemia y que más rédito ha obtenido de la COVID-19 es Zoom Video Communications. Se trata de una empresa estadounidense cuya sede se encuentra en California. Pero su proceder, nada transparente con las leyes y la protección de datos, como TECNOideas ha ido pregonando, le ha llevado finalmente a tener que afrontar una cuantiosa multa.
El «éxito» de Zoom se debe principalmente a su sistema de videollamadas y reuniones virtuales que, como todos sabemos se disparó durante la pandemia. Tanto es así que la empresa norteamericana pasó de tener 10 millones de usuarios activos en 2019 a más de 300 millones a finales de abril del 2020. Entonces se estimó que su fundador, Eric Yuan pasó a ser uno de los hombres más ricos del mundo, con una fortuna personal valorada en unos 5.500 millones de dólares.
Pero no es oro todo lo que reluce y tras más de un año avisando sobre la poca seguridad de sus aplicaciones, soluciones y servicios, Zoom empezó a ser vetado por algunos gobiernos y empresas por los riesgos de seguridad.
Desde TECNOideas avisamos pronto sobre las conductas reprochables de Zoom. Accedían a datos de los usuarios sin su autorización, como los contactos. Más tarde se pudo probar que los había vendido, sin permiso ni aviso, a grandes plataformas, como Google, Facebook o Linkedin.
Por todo ello Zoom recibió varias denuncias en Estados Unidos y una demanda colectiva. La empresa reconoció los fallos y ha llegado a un acuerdo extrajudicial, según la cual la compañía de la solución de videoconferencia se verá obligada a pagar un total aproximado de 85 millones de dólares, a repartir entre sus usuarios de pago. En octubre, la jueza de San José (California) encargada del caso, deberá ratificar el acuerdo.
Igualmente, aunque esto será más difícil, se compromete a aplicar seguridad, y no «robar» más datos de sus clientes, ni traficar con ellos. Habrá que verlo, porque estos avisos y compromisos ya estaban sobre la mesa desde noviembre del año pasado.
Para los que deseéis conocer más sobre el tema, queremos recordaros que en este mismo blog hemos hecho una serie de artículos temáticos sobre Zoom, así como varios aportes más, cuando surgía una noticia. Os refrescamos la memoria con un par de ellos: «Éxito y caída de Zoom» publicado el 13 de abril de 2020 y «Nuevo ataque a Zoom con pornografía» que pudisteis leer el 3 de mayo del mismo año.
Además, como profesionales de la ciberseguridad, no hemos recomendado Zoom a nuestros clientes y a los que lo estaban utilizando les hemos ayudado a hacer el cambio a otras plataformas.
En el lado positivo del tema, podemos ver, una vez más, que en estos temas tecnológicos, incluso los más grandes acaban por ser investigados y multados, con cuantiosas cantidades, por no seguir las leyes o la más mínima noción de la ética profesional.
Y por último, una reflexión para todos los que nos seguís, seáis clientes o simples seguidores de la tecnología: no siempre lo más extendido y conocido es lo mejor para cada uno de nosotros, ni lo más fácil de usar, claro…
Imagen principal: Alexandra_Koch en Pixabay
- Publicado en General, Noticias, Privacidad
Nos quejamos de Google, pero la privacidad está en peligro por una nueva ley.
Hace unas semanas comenzamos a ver sentencias, del Tribunal de Justicia de la Unión Europea (TJUE), donde firman sentencias para que se identifique a una persona a través de su dirección IP. Y dicha resolución reza tal que así:
«el registro sistemático de direcciones IP de usuarios de esa red y la comunicación de sus nombres y direcciones postales al referido titular o a un tercero para permitir la presentación de una demanda de indemnización son admisibles si se cumplen determinados requisitos»
Tribunal de Justicia de la Unión Europea (TJUE)
Dicha sentencia tiene colación en nuestro país por el llamado caso Euskaltel, cuando se recibió denuncia de varios usuarios de dicho operador, en 2017, que presuntamente habían compartido ficheros y contenido sin permiso ni autorización en redes P2P.
Varios abogados como David Bravo o David Maeztu, especialistas en derecho tecnológico (y propiedad intelectual), recomendaron en su momento no pagar, pero ahora han visto como la Justicia puede actuar en su contra, aunque dentro de una forma proporcionada, como apuntan.
Y de tapadillo, hace unas pocas semanas, la Eurocámara derogó la Directiva 2002/58/CE de Privacidad en Internet, y activo el llamado Chatcontrol, que no es otra cosa que habilitar una puerta trasera para que la «autoridad» pueda acceder a servicios de mensajería (whatsapp, Telegram, etc…) y otros tipos de servicios, como el correo electrónico, pero solamente cuando, de momento, colabore la empresa prestataria de servicios.
La excusa es para perseguir la intolerancia, el terrorismo y el abuso infantil, entre otras cosas, eso sí, haciéndonos pasar a todos por delincuentes, sin cribar este fisgoneo, y indicando, que quien no tenga nada que esconder, no tendrá nada que temer. Supongo que os suena 1984 o Minority Report, que aunque también hay películas, nos referimos a los libros.
Recordemos que hay sistemas y algoritmos implantados desde hace tiempo por Microsoft o Gmail por ejemplo, donde escaneaban los correos sin «leer» el contenido, en busca de ciertos detonantes de seguridad, para luego dar aviso a las autoridades.
Pero eso era voluntario, respetando la privacidad, o casi, y este nuevo sistema es obligatorio, y no dicen técnicamente como se llevará a cabo, ni quien. Mucho están rizando el rizo las autoridades y legisladores con estas nuevas acciones y leyes….
Como no, el partido Pirata, se ha puesto en marcha con una WEB informativa, y una recogida de firmas para pedir que se derogue esta derogación, AQUÍ.
Mucha gente, amigos, clientes, nos dicen que no les importan sus datos, que no pasa nada porque nadie mire, o los vendan. En Internet somos lo que generamos, negocio para ciertas empresas con nuestros gustos, compras, acciones,etc… Y siempre hemos creído, y creemos, que es un derecho fundamental, la privacidad.
- Publicado en Consultoría, General, Noticias, Privacidad
Aniversario de la primera puesta en marcha de un servidor web
Tal día como hoy, 6 agosto de 1991, hace ya 30 años, Tim Berners-Lee, que aún no sabemos porque no es Lord, puso en marcha en el CERN (Organización Europea para la Investigación Nuclear), sitio de donde han salido las más disparatadas soluciones, pero funcionales y adelantadas a su tiempo (por ejemplo como el sistema de correo encriptado que usamos, o la VPN de Proton).
Ese paso, después de que Internet ya funcionase desde hace años, hizo democratizar esa tecnología, ponerle un interfaz gráfico, accesible para casi todo el mundo con un navegador, que creó el también posteriormente, por nombre, poco original WorldWideWeb, que posteriormente cambió a Nexus.
Aunque era el primer navegador, de muchos, contaba con funciones imprescindibles hoy en día, como el adelante y hacía atrás. Y también era compatible y usaba multitud de protocolos, como FTP, HTTP, NNTP y abrir archivos locales. Se puede probar en ESTA web que ha habilitado el CERN para ello, eso sí, ligeramente remasterizado.
Volviendo a la puesta marcha de dicho servidor, el Sr Berners-Lee también creó el primer director web, al enlazar con otras webs que no eran suyas, y los siguientes servidores, ya que como no, liberó el código fuente de dicho proyecto, tanto de servidor como cliente, haciendo pasar el número de servidores Web de veintiséis en 1992 a doscientos en octubre de 1995.
Hoy solo es una nota sobre este evento, porque la vida de este Informático teórico, físico, programador, profesor universitario, desarrollador web, ingeniero e inventor, daría para muchos artículos. Solo apuntar que es uno de los pioneros de la Neutralidad en la Red, y está trabajando en una web semántica.
Seguros de ciberriesgo, no os la juguéis a una sola carta!
Algunas empresas creen que un seguro de ciberriesgo basta para cubrir posible incidentes de ciberseguridad. Pero eso no es exactamente así y pueden encontrarse con muchas sorpresas. Leer la letra pequeña, entender lo que se propone exactamente en la póliza y saber que es un seguro y como actúa. Pensad que estos productos son genéricos y somos nosotros los que hemos de cumplir, igual que si lo hiciéramos para un vehículo: en caso de accidente y el conductor con positivo en alcohol o drogas ¿la aseguradora nos cubriría?
Hace unos años celebrábamos que por fin, el sector seguros se pusiera manos a la obra con los ciberriesgos, y ofreciera estos productos a empresas no tan grandes, que hasta ahora eran las beneficiarias de estas pólizas.
Pero tras unos años de gran aceptación, de su comercialización incluso a través de bancos, y sobre todo, contratándolos sin ton ni son a empresas que no tenían securizados —ni en lo más mínimo— sus sistemas, ha hecho que los incidentes sigan estando presentes, se sigan repitiendo (incluso varias veces en las mismas infraestructuras) y por lo tanto, se empiezan a no pagar ciertos incidentes, y a subir el precio de las pólizas.
El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Así que el daño que ocasiona el ransomware y lo que le cuesta a las empresas su rescate ha tenido también mucho que ver. ¿Por qué? Pues porque las empresas querían aprovechar estas pólizas para poner su futuro en manos de un seguro. Craso error, porque lo que de verdad es interesante es ponerse en manos de la tecnología, formar a sus equipos y elaborar planes concretos. Y cuando eso no se hace, llegan los incidentes y se espera que el seguro pague.
Tan importante es el tema que os queremos recomendar una publicación: Ransomware: una guía de aproximación para el empresario que publicó el INCIBE y que podéis descargaros AQUÍ.
Muchos han pasado por todo esto y por malas planificaciones. Y entonces llega la aseguradora y por mucho empeño y ayuda que ponga, al darse cuenta que la empresa en cuestión no tiene una política de seguridad correcta y aprovechable, solo puede recomendar pagar el rescate. Y debemos decir que este pago, en este país, es ilegal y objeto de persecución por parte del Ministerio de Hacienda, como bien se describe en este artículo de El Economista que podéis leer AQUÍ.
Pero sigamos, porque llegados a este punto tenemos la ecuación perfecta: aumento de incidentes = aumento de gasto. En consecuencia no queda más que subir la prima de las pólizas, como bien reza este ARTÍCULO.
Tampoco es muy buena idea contratarlas sin ton ni son. En este segundo caso hay aseguradoras que mas que una póliza te da unos servicios propios, obligatorios, que si fallan, entonces si pagan la cobertura.
Y ya hay informes de que una empresa que pague un rescate, como ya hizo poco anteriormente por la seguridad, los ciberdelincuentes saben que son un caramelo: accesibles y pagan rescate, así que vuelven a actuar contra ellos. Nada menos que lo cuantifican en un 80%, las empresas que han cedido al chantaje y vuelven a ser vulneradas en menos de un año, y casi siempre por el mismo grupo. Artículo al completo AQUÍ.
Nos gusta ser profesionales, así que, aunque una aseguradora pueda pagar por este tipo de incidencia, nos preguntamos: ¿cómo se atreven las empresas a no hacer ninguna acción preventiva y fiarlo todo a la carta de «ya me lo arreglará el seguro, porque para eso lo pago»?
Insistimos una vez más: un seguro debe ser un producto complementario a nuestros planes de ciberseguridad, lo más completos posibles, revisables cada cierto tiempo, y con una guinda, como podría ser esta opción. Pero nunca, nunca el seguro debe ser nuestro único plan.
Por eso mismo TECNOideas ofrece entre sus servicios la opción de buscar un seguro que cubra todas vuestras necesidades según vuestra facturación anual. Y esa es otra, porque los ciberdelincuentes suelen pedir el rescate según la facturación anual de una empresa y por eso las compañías de seguros aplican el mismo criterio al valorar la prima a pagar por un ciberseguro.
Imagen principal: Mary Pahlke en Pixabay
Metodología de programación segura OWASP
Decir que la ciberseguridad está en todas partes no es una frase dicha al azar. Tendemos a simplificar las cosas y por ello a menudo pensamos que al hablar de ciberseguridad nos referimos a los equipos informáticos. Pero nada más lejos de la realidad. La Ciberseguridad no solo está en los equipos y en los usuarios, sino también en todas las herramientas y comunicaciones que usamos día a día.
Si habéis visto nuestros vídeos, asistido a algún webinar o curso de concienciación, veréis que hacemos mucho hincapié en la formación, pero también en las herramientas que usamos y sobre todo las de comunicaciones, como VPN por ejemplo.
Ya hemos hablado de las VPN en este blog. Pero os refrescamos la memoria: una VPN es una Red Privada Virtual (del inglés Virtual Private Network) y lo que hace es redirigir tu tráfico de internet de forma segura, encriptando los datos y protegiéndote de posibles vulnerabilidades.
Si queréis saber más cosas sobre las VPN, podéis ver las consideradas las diez mejores del año 2021 en la web TOP10VPN. Esta web es parte de la empresa británica PrivacyCo Ltd, que cree que la privacidad es un derecho fundamental y defiende una Internet libre y abierta en todo el mundo y su objetivo es simplificar la privacidad digital para todos.
Pero también debemos decir que hay cosas que se escapan a nuestro control y que la formación no da para que, por ejemplo, un software o una app que usemos, sea segura. Segura tanto en código, como en base de datos, comunicaciones entre sus partes, etc. Ya hicimos un artículo hace unos días sobre los servicios que ofrecemos, tanto de acompañamiento como de formación, a programadores o jefes de proyecto, que realicen estas tareas.
Lo podéis leer AQUÍ.
Siguiendo este hilo, hoy os queremos hablar del Open Web Application Security Project®(OWASP).
«El Open Web Application Security Project® (OWASP) está dedicado a la búsqueda y la lucha contra las vulnerabilidades en el software. La OWASP Foundation es una organización sin ánimo de lucro que proporciona la infraestructura y apoya este trabajo.
La participación es gratuita y abierta para todos, todo gratuito y con código abierto, cuyos objetivos son crear herramientas, documentación y estándares relacionados con la seguridad en aplicaciones.»
Owasp foundation
Hay diferentes recursos y guías para realizar comprobaciones y test según el nivel de desarrollo del proyecto, como veis en la imagen anterior. Como no podía ser de otro modo, se actualizan y mejoran con el tiempo, y uno de los ejemplos más característicos es su «Testing guide«, que ya va por la versión número 5.
Imagen principal: lo que debería ser y no es
En este Testing guide encontraréis mucha información y algunas imágenes y esquemas. Como por ejemplo la imagen principal que abre este artículo. En ella se muestra una representación proporcional típica. De acuerdo con la investigación y la experiencia, es esencial que las empresas pongan un mayor énfasis en las primeras etapas de desarrollo. Eso es algo que en TECNOideas no cesamos de reclamar y de recomendar a nuestros clientes. Por eso en esta imagen se recomienda que un marco de prueba equilibrado mantenga estos porcentajes de diseño, desarrollo, despliegue, mantenimiento y definición. ¿Los cumple vuestra empresa?
Como podéis comprobar, la metodología de programación segura OWASP es una muy buena alternativa y está en total concordancia con nuestra filosofía del trabajo.
- Publicado en General
Español 
Català