¡Atención BYOD! No dejéis que a vuestra empresa le pase lo mismo que a Estados Unidos
Bring Your Own Device (BYOD) es una política empresarial según la cual se permite a los empleados usar sus propios dispositivos personales para trabajar. Esta práctica que está aumentando con la pandemia no está exenta de riesgos. Y es que los ciberataques llegan hasta los rincones más insospechados, como acabamos de ver con el ataque masivo a la Administración de Estados Unidos, con brechas de seguridad en Defensa, Comercio y Energía, aunque haya sido a través del software de gestión de redes de SolarWinds, Orión.
La práctica del BYOD no es nueva, pero con la pandemia se ha vuelto a poner de moda. No se trata sólo de que los trabajadores puedan usar sus dispositivos portátiles personales (ordenadores, smartphones, tabletas) para trabajar, sino que también incluye que los lleven a su empresa para conectarse a la red y a los recursos corporativos.
no está exenta de riesgos
Entre las ventajas del BYOD podemos citar la flexibilidad en el trabajo de cada empleado, el incremento de la productividad, puesto que los trabajadores se encuentran más cómodos usando sus propios dispositivos o que permite a las empresas ahorrar costes en la adquisición de tecnología. Pero ¡atención BYOD!: esta práctica no está exenta de riesgos.
¡Atención BYOD! Vector de entrada: el móvil de empresa
Ha llegado el turno de los inconvenientes de esta práctica. El más destacado, ya lo habréis adivinado, es el riesgo que supone para la seguridad de la red corporativa. Le siguen el no tener protegida la información confidencial de la empresa o que si el smartphone particular de un trabajador está infectado y se conecta a la red de la empresa se puede infectar toda la red. Por no hablar de lo que puede ocurrir si al trabajador en cuestión le roban su móvil.
Trabajar con el smartphone es, en sí mismo, un peligro. Cada vez se utilizan más para trabajar, se comparten con los empleados (¡sí, ya se, tener dos móviles es un rollo!, pero…) y normalmente se usan también fuera de la seguridad que supone el recinto de la empresa y por lo tanto fuera de las políticas de seguridad que ésta ha podido implementar. Además de todo esto hay que tener en cuenta que muchas empresas están faltas de MDM’s (gestión de datos maestros).
Por todo ello, ¡atención BYOD!, estas son algunas de las negligencias más comunes que los expertos de TECNOideas 2.0 han encontrado en las auditorías que hemos realizado:
• Instalación de aplicaciones no recomendadas. Como por ejemplo mensajería, redes sociales, aplicaciones de dating, etc.
• Aplicaciones de descarga 2P2 (Peer to Peer), que permiten al usuario descargarse un software que conecta su ordenador con el resto de personas que estén en la red.
• Patrones o contraseñas de desbloqueo sencillos o sin patrón alguno.
• Falta de cifrado.
• Uso compartido con otros familiares, normalmente las hijas o los hijos.
• Conexiones a redes abiertas o inseguras.
• Conexiones a dispositivos inseguros (bluetooth).
Las principales causas de estos incidentes son Malwares (softwares maliciosos), Ramsonwares (programa de software malicioso), Data Leaks (fuga de información expuesta y publicada) y DLP (Prevención de pérdida de datos).
Si estáis interesados en tener más información sobre este tema, os recomendamos la lectura de una entrevista a Oriol Cremades, Doctor en Derecho que publicó la web Do Better, el hub de contenidos digitales de Esade.
Servicio “SmartAudit” de TECNOideas 2.0
Pero todas estas amenazas, que son reales, tienen una solución: la prevención. El refranero es sabio y en la ciberseguridad se puede aplicar perfectamente el popular refrán que dice “más vale prevenir”. Y es absolutamente cierto.
En TECNOideas 2.0 ofrecemos el servicio “SmartAudit”, con el cual proporcionamos a las empresas un informe detallado de cada uno de los dispositivos, así como las preceptivas recomendaciones de seguridad.
Y por supuesto acompañamos a las empresas en todo el proceso de implantación segura del BYOD.
Somos consultores de seguridad
«La ciberseguridad no es un gasto, es una inversión»
- Publicado en General, Malos hábitos, Noticias, Seguridad
Trámites que tienes que hacer cuando te mudas de oficina
Si vas a hacer la mudanza de tu empresa debes saber que es necesario que lleves a cabo una serie de trámites. En este artículo vamos a enseñarte todos las gestiones que debes hacer para poder trasladar tu empresa de sede sin problemas y el secreto para encontrar las mejores tarifas.
¿Cómo dar de baja la luz cuando te mudas de oficina?
Realizar la mudanza de una empresa es realmente una tarea ardua y encomiable. En primer lugar debemos encontrar un sitio que se ajuste a nuestras necesidades, como la ubicación, el espacio, los servicios, etc. y especialmente adaptarse a nuestro presupuesto. Una vez lo hemos encontrado y hemos conseguido alquilar unas nuevas oficinas o un nuevo local, comienza el verdadero calvario. Organizarse para poder trasladar todo, empaquetando todo el equipo y material, transportando a la empresa sin que por ello dejemos de prestar el servicio que se realiza.
Por ello es muy importante realizar todos los trámites necesarios, especialmente los energéticos, ya que no podremos prestar nuestro servicio a nuestros clientes si no tenemos electricidad. Del mismo modo, es muy importante dejar zanjado el suministro en nuestra anterior sede para no tener que pagar dos suministros de luz al mismo tiempo. Afortunadamente hoy en día es muy simple y fácil dar de baja la luz por internet, ya que se trata de una solicitud rápida que no nos obliga a estar esperando que un operador nos coja la línea.
Por otro lado, en la mayoría de casos tampoco podremos prestar nuestros servicios si no disponemos de un servicio de red para poder atender a nuestros clientes o trabajar en equipo entre los empleados de una misma compañía. Para muchas empresas, especialmente para las compañías tecnológicas, tener servicio de conexión a internet especial para empresas es casi tan importante como tener luz y calefacción, por ello el nuevo local debe contar con conexión y operatividad antes de nuestra llegada. Además la mudanza puede ser una gran oportunidad para comparar ofertas y encontrar cuál es el precio de internet para empresas más económico del mercado.
Para ello solo debemos utilizar un comparador de internet que nos ayudará a encontrar cuáles son las mejores ofertas del mercado a través de un ranking que nos mostrará las tarifas de diferentes operadores, sus velocidades de conexión o prestaciones y el precio de cada oferta.
¿Qué trámites deben hacerse cuando nos mudamos de oficina?
Para trasladar nuestra oficina en primer lugar deberemos trasladar los contratos de energía o cambiar de nombre los de la antigua sede y la nueva. En el caso de que nadie vaya a adquirir nuestras antiguas oficinas deberemos dar de baja la luz y el gas. En la misma senda, si el suministro de luz no está dado de alta en las nuevas oficinas, deberemos activarlo con suficiente antelación a nuestra llegada. Para dar de alta la luz en unas oficinas o en un local es necesario presentar los siguientes documentos a una comercializadora:
- CIF de la empresa.
- Documento Nacional de Identidad del titular del contrato.
- Certificado de Instalación Eléctrica de las oficinas.
- Código Universal del Punto de Suministro.
- Número de cuenta bancaria.
Una vez has presentado los documentos necesarios hay que seleccionar una tarifa y una potencia eléctrica. Recuerda que la potencia eléctrica se paga por cada kilovatio de potencia, por lo que debes contratar la justa y necesaria para poder utilizar tus equipos sin tener que pagar más de lo necesario. Si quieres saber cómo puedes organizar tu mudanza de la forma más efectiva, te invitamos a leer el siguiente artículo para que puedas proseguir con tu actividad de la forma más rápida posible.
- Publicado en General, Hazlo tu mismo, Malos hábitos, Noticias
¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Publicado en Consultoría, Formación, Malos hábitos, Protección de datos
Éxito y caída de Zoom
A veces, en este sector, te conviertes un poco en profeta, porque no te fías de ciertos productos y con hechos y pruebas avisas a tus clientes, y al final, el tiempo acaba por darte la razón.
No es que seamos adivinos, pero sí persistentes, y la experiencia ayuda, así que cuando empezamos a ver “cosas raras” investigamos.
Este es el caso de Zoom, un sistema de videoconferencia y de reuniones virtuales que desde el confinamiento forzoso por el Covid-19, ha sido protagonista y lo empezó a usar mucha gente. Pero esos pequeños detalles, que por cantidad de uso molestaban solamente a unos pocos, empezaron a ser detectados por los usuarios y así llegaron a molestar a muchísimas personas.
Repasamos brevemente la polémica sobre este sistema que nació con la idea de facilitar la interconexión en el mundo de las videoreuniones empresariales.
• Fallo de diseño: para facilitar la conexión, sólo con un enlace y unas pruebas aleatorias, personas ajenas a la videoconferencia podían entrar sin ningún permiso concreto. ¿Y qué hicieron? De todo: insultar, incordiar, molestar, transmitir imágenes, etc… Por supuesto, todo esto tiene un nombre: ZOOMBOMBING.
Aunque los desarrolladores dijeron que muchos usuarios publican los enlaces para que la gente los clique y puedan verlos (estudiantes cuando están con sus profesores, por ejemplo), la verdad es que hay hasta scripts (lenguaje de programación) para buscar videollamadas activas de Zoom, como por ejemplo ESTE.
• Otro fallo de diseño: por muy segura que dijeran que fuese la aplicación, (que luego se demostró que no era así), ésta no disponía de cifrado de extremo a extremo, siendo por ello muy vulnerable.
• Julio de 2019: se hizo pública una vulnerabilidad para Apple, por la que el programa exponía a todo Internet a una conexión de un puerto con la cámara del ordenador directamente. Zoom no corrigió esta vulnerabilidad y tuvo que ser Apple la que parcheara el problema.
• 27 de Marzo de 2019: se hizo público lo que algunos expertos sospechábamos: que Zoom enviaba datos a Facebook de las videoconferencias que se realizaban con este sistema. Y por supuesto, sin indicarlo en sus políticas de privacidad. Se habían realizado pruebas de conversaciones concretas, y luego se recibía publicidad en esta red social. Privacidad cero.
• 31 de marzo de 2020: se prueba que al hacer la instalación en un Mac, los privilegios de este programa, pasan a ser del Administrador del sistema. Hay que tener mucho cuidado con lo que puede llegar a hacer un Administrador con este rol.
• 1 de abril de 2020: se exponen hashes y ficheros en las invitaciones de Windows, y un usuario experto puede descifrar las contraseñas en menos de un minuto.
• 2 de abril de 2020: el periódico The New York Times publica una investigación sobre Zoom, donde explica que la aplicación cuenta con un apartado de minería de datos, que relaciona los nombres de usuarios de Zoom, con los correos de Linkedin (sin permiso), y aparece la información en un icono al lado de cada usuario en una videollamada.
• 3 de abril de 2020: se filtran listados de miles de llamadas grabadas, por Zoombombing, y publicadas en Internet. Privacidad cero parte 2.
• 6 de abril de 2020: Incibe publica un aviso sobre la vulnerabilidad descubierta en Windows. El instituto indica que, además de contraseñas expuestas, alguien externo puede ejecutar un código remotamente, como Ransomware o Malware. Podéis ver el aviso del Incibe AQUÍ.
• 10 de abril de 2020: se publica el parche para las diferentes versiones de Zoom, por lo que se recomienda descargar o actualizar a la última versión del programa, ya sea en PC o en dispositivos móviles.
Morir de éxito o pegarse un tiro en el pie, hay opiniones para todos los gustos. A todos estos fallos hay que sumar que se registraron alrededor de 1.700 dominios relacionados con Zoom, su nombre y variantes, y que la compañía anuncio el día 3 de abril que durante los siguientes 90 días solo trabajaría en arreglar todos estos problemas y no sacaría nuevas funcionalidades.
Zoom fue creado en Estados Unidos en 2011 por Eric Yuan, un matemático e ingeniero programador chino que estuvo en el equipo original de WebEx antes de que lo comprara Cisco, empresa en la que llegó a ser vicepresidente corporativo de ingeniería. Yuan abandonó finalmente Cisco para crear Zoom.
Desde su fundación, en 2011, Zoom tenía una pequeña cuota de mercado, pero en 2019 tuvieron un aumento significativo, con la salida a bolsa, duplicando su precio objetivo. Y con el confinamiento, triplicaron su valor, llegando hasta los 150 dólares.
El atractivo de esta aplicación era dar más que los demás, porque, de no ser así, la cuota hubiera seguido siendo la misma. La pregunta del millón podría ser: pero en todos estos años, ¿cómo ha aguantado sin tantos usuarios Premium? Y la respuesta, probablemente, es que se llevaba un buen pellizco de Facebook.
Si sois de los que pensáis que…
• la privacidad tampoco vale tanto, y que suplantar vuestra identidad no vale para nada…
• que da lo mismo que vuestras conversaciones sean grabadas sin permiso y luego os envíen publicidad a medida en Facebook…
• que todo lo demás que nombramos en este artículo, os tiene sin cuidado…
… sin duda Zoom es vuestra aplicación.
Pero si ya estáis concienciados…
• y necesitáis una solución de videoconferencia, porque aunque pronto salgamos del confinamiento…
• ya tenéis claro lo provechoso y productivo que resulta reunirse virtualmente, (ahorro de tiempo, de desplazamientos, de dinero)…
• y que la tecnología permite muy buenas alternativas...
… pensad que TECNOideas siempre está al día de todos los problemas de seguridad y de las soluciones comerciales. Por ello puede recomendar en todo momento y personalizadamente las necesidades de cada uno de sus clientes, sean gran empresa, PYME, consultorios médicos, despachos profesionales, etc.
TECNOideas realiza auditorias de sistemas informáticos e industriales, para detectar vulnerabilidades que expongan sus datos, y poder evitarlas.
Además TECNOideas tiene un importante apartado de formación, donde profesionales de tecnologías de la información realizan cursos a distancia y en las empresas, para que sus trabajadores o sus cargos intermedios y directivos tengan una cultura de la ciberseguridad que minimice los riesgos.
- Publicado en Consultoría, Formación, Malos hábitos, Noticias, Privacidad, Seguridad
Revelación responsable, en inglés ‘Responsible disclosure’
Alguna vez nos ha preguntado algún amigo, cliente, o colaborador que hacemos si en nuestras pruebas de Pentesting diarias, descubrimos algún fallo de un tercero, que nos para quien trabajamos en ese momento.
Como no, hay una expresión para este tema, que es la que da el título a este post Revelación responsable, o en inglés ‘Responsible disclosure’.
Ya dice mucho de por si. Nosotros si descubrimos algún fallo, nos ponemos en contacto con quien lo sufre, y le damos toda la información posible.
¿Suele funcionar? Sencillamente no. A veces insistimos, alguna vez tenemos respuesta y nos derivan a otra persona, y luego a otra, como si el problema fuera nuestro.
Si es una empresa privada, son ellos los que tienen el problema, y no insistimos más. Si es una empresa pública, ya que somos todos y la dejadez la pagamos todos, pues lo denunciamos públicamente esperando que haya una causa-efecto.
Aún así, no suele haber mucho feedback, y es que aún pasan pocas desgracias, como por poner solo dos ejemplos, en Baltimore o New Orleans.
Podéis leer un artículo en Wikipedia AQUÍ sobre este tema, y como no, la controversia que genera.
- Publicado en Consultoría, Malos hábitos, Noticias
La adicción a los videojuegos ya es una enfermedad oficial OMS.
El año pasado la OMS registró una petición para incluir oficialmente la adicción a los videojuegos como un trastorno, en la clasificación internacional de Enfermedades.
Para ser considerado una adicto como enfermo, deben considerarse varios puntos, como que debe afectar dramáticamente a la vida personal y laboral durante al menos 12 meses.
Aunque hasta el 2022 no saldrá una guía oficial de medidas de prevención y tratamiento, ya se ira teniendo en cuenta legalmente, así como por las aseguradoras, ya que se fijan en esta lista de la OMS como guía de enfermedades.
- Publicado en Malos hábitos
¿Son las wifis públicas seguras?
El conectarse a una red wifi pública nos expone a ciertos peligros, ya sea porque si no está cifrada exponemos nuestros datos tal cual al mundo digital, o porque hay desalmados que aprovechan las fragilidades de estas redes para robarnos datos.
Por eso deberíamos tener ciertas precauciones al conectarnos a una de estas redes:
– Mejor si son con codificación Wpa o Wpa2. Libres o Wep deberíamos desistir, aunque la necesidad nos hace saltarnos este paso muchas veces.
– Tener antivirus, antimalware y/o firewall actualizado al día y activo. Suena redundante, pero a veces con un equipo móvil no prestamos atención a estos puntos.
– Desactivar el sincronizado automático de aplicaciones, bluetooth y compartir archivos por red.
– No iniciar sesión en aplicaciones web que no incluyan el protocolo https.
– No guardar estar red pública, y borrarla al dejar de usarla, para que no se conecte automáticamente de nuevo, sin que prestemos atención a todos estos puntos anteriores.
– También sentido común e interacción humana , como preguntar a algún empleado del local donde vayamos a conectarnos, si la red a la que te vas a conectar, realmente es la suya.
¿Porqué todo esto? ¿Que técnicas se usan para robarnos datos mientras estamos conectados?
– Man in the middle, una técnica para leer datos transmitidos sin cifrar.
– Snniffers, son programas que ejecutados desde otra máquina que no es la nuetra rastrean todo el tráfico de una red.
– Distribución de malware, para por ejemplo controlar remotamente ordenador y agregarnos a una red zombi.
– Redes falsas con suplantación de nombre. Tal cual, pueden diferir en uno o dos caracteres de la red original para hacernos creer que es la buena.
Para mejorar aún más nuestra seguridad podemos usar una VPN. Es una red que crea un túnel a través de internet, cifrando todos nuestros datos, a través de un servidor seguro. Las mejores, de pago, claro está, aunque también hay gratuitas. Nosotros recomendamos, por seguridad y privacidad (nunca hay registros de lo que hacemos ni se quedan ningún dato para vender, perder o rastrearnos), Proton VPN.
En otro artículo hablaremos del nuevo protocolo wifi 802.11ax, que implantará el soporte de la nueva codificación Wpa3, con un gran avance en la seguridad.
- Publicado en Consultoría, Malos hábitos, Seguridad
Este año va camino de ser un Annus horribilis para Facebook.
Oficialmente Facebook cifra en 87 millones de usuarios, donde han sido usurpados sus datos para utilizarlos
sin autorización para la Campaña presidencial del presidente Trump o a favor del Brexit. Pero en la práctica,
parece que ninguno de los dos mil millones de usuarios se han salvado de estas prácticas.
Aparte del escándalo de Cambridge analítica, la consultora que trabajando para Trump en su campaña, ha recolectado estos datos a través de diversas apis, Facebook no cumple los requisitos mínimos ni de transparencia en sus acuerdos legales, ni de privacidad. Ellos mismos aseguran que hasta los mensajes de Messenger se “analizan” para ver si cumple con sus normas, por lo que también pueden ser utilizados para otros menesteres.
A veces hemos dicho que si algo es gratis, pues es lo que toca, pero violar permanentemente la privacidad de los
usuarios, más siendo tantos, y más aún por un rédito económico, debería ser suficiente como para que las autoridades intervengan.
Hace unas semanas Mark Zuckenberg compareció ante el Senado de EEUU y la Eurocámara en Bruselas. Sin
entrar a valorar los memes y vídeos sobre si es Zuckenberg es en realidad él, un robot o un reptiliano, poco ha dicho.
En una declaración de apenas 10 minutos, valora que no han hecho las cosas bien, pide disculpas y da muchos
datos sobre la política de Facebook en intervencionismo y recopilación de datos de terceros (sin su aprobación, claro)
Ahora vendrán las deliberaciones de las autoridades, y veremos si una cuantiosa y no simbólica multa, para que
por fin, modifique todas estas políticas que solamente perjudican a los usuarios.
- Publicado en Malos hábitos, Noticias, Redes sociales, Seguridad
La maldición de programadores, diseñadores,etc… **visto en Microsiervos**
Interesante vídeo para todo aquel que trabaja en servicios de cualquier índole para otros, ahora le podemos enviar este vídeo al cliente “raro”.
- Publicado en Malos hábitos
Saber si nuestro dominio está en alguna lista de spam.
Seguimos con comprobaciones, dns y spam, esta vez vamos a averigüar si un dominio nuestro, de un amigo, cliente o proveedor está en una lista de spam, y por ello no nos llegan los correos.
Hay múltiples listas y servicios anti-spam, donde los servidores o los sistemas para verificar si un correo es basura miran, pero podemos comprobar la mayoría de ellos de una tacada.
¿Y cómo se llama este gran invento? Es un apartado de MxToolbox, blacklist para ser más exactos (en este enlace), donde pondremos la ip del servidor a comprobar (si no la sabemos, con un simple ping a su registro mx, casi siempre mail, nos la devolverá), y tachán! veremos en que listas está o no apuntado.
¿Y si es nuestro dominio, está en una o varias listas , y queremos "arreglarlo"? Primero arreglar el porqué estáis en esa lista, virus que envía, dirección capturada por contaseña poco segura, script en alguna web de vuestro hosting, o malas prácticas de envío. Después, casi todas estas listas tienen un formulario donde se puede pedir que nos den de baja explicando el motivo.
No lo hagáis a la ligera, sin haber arreglado el problema, porque que nos etiqueten una segunda o tercera vez puede ser nefasto.
- Publicado en Hazlo tu mismo, Malos hábitos
Español 
Català