“El juego del calamar” y nuevas ciberdelincuencias varias
No hay ninguna duda: cuando algo se pone de moda, los ciberdelincuentes tardan cero coma en aprovecharse de ello. El último ejemplo lo tenemos con la serie de Netflix para la televisión surcoreana “El juego del calamar”. Estrenada el 17 de septiembre de este año, en pocos meses se ha convertido en la serie más vista de la plataforma Netflix, con más de 142 millones de espectadores en todo el mundo. Y claro, los ciberdelincuentes ya se han ocupado de ella. Este tema es el primero que os contamos en nuestro artículo de hoy, donde además os hablamos de otros dos informes de compañías de seguridad sobre actuaciones de ciberdelincuentes que se han hecho públicos a finales de octubre.
ESET es una compañía de seguridad informática fundada en 1992 y que tiene su sede en Eslovaquia. Sus expertos alertan sobre un malware tipo Joker que aprovecha el éxito de “El juego del calamar”. Los ciberdelincuentes siempre están a la moda y saben aprovechar cualquier circunstancia para buscar a quien hacer daño. Resulta que el éxito de la serie surcoreana ha llevado a los delincuentes a crear aplicaciones falsas de la serie para infectar los dispositivos Android de los usuarios que se la descarguen. Lo han hecho colocando una aplicación maliciosa en Google Play que se llama igual que la serie.
Además han suplantado el nombre de una empresa especializada en la creación de fondos de pantallas para móviles de series de películas, lo que ha provocado que muchos usuarios hayan creído que se trataba de una App real cuando no era así.
Editado el informe del primer semestre 2021 de HP Wolf Security
El equipo de investigación de amenazas de HP, conocido con el nombre de Wolf Security ha informado sobre un aumento de la capacidad de los ciberdelincuentes para aprovechar las vulnerabilidades de día cero, más conocido con el nombre en inglés de zero day. Se trata de que los ciberdelincuentes conocen antes que los usuarios o los fabricantes de software una posible vulnerabilidad y por lo tanto aun no han sido parcheadas para arreglarla. Este tipo de acciones está considerada como una de las más peligrosas, porque las empresas que las padecen deben reaccionar muy rápidamente, cosa que raramente sucede. Los profesionales de HP aseguran que el tiempo medio para que una empresa pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días. Podéis leer más sobre las vulnerabilidades de día cero en la Wikipedia.
El informe HP Wolf Security Threat Insights recoge datos de entre julio y septiembre de este año y explica varios ejemplos. Este tipo de vulnerabilidades estaba al alcance de ciberdelincuentes muy cualificados, pero ahora son accesibles a personas con menos recursos y conocimeintos, lo que explica su aumento. El informe también alerta de los ciberdelincuentes que utilizan proveedores de la nube y de las webs para alojar malwares.
Podéis leer el informe AQUÍ.
Panda alerta sobre la autenticación de doble factor
La empresa Panda Security he emitido un comunicado en el que alerta que la autenticación de doble factor ya puede ser evitada por algunos ciberdelincuentes. Aunque la doble autenticación consigue bloquear cerca del 99,9% de los intentos de delinquir, los ciberdelincuentes consiguen interceptar los códigos de un solo uso enviados en un SMS al smartphone del usuario. El atacante consigue así convencer al proveedor de servicios móviles que él es la víctima y solicita que el número de teléfono se cambie a otro dispositivo que él elige.
Esta es la forma más común que ha encontrado Panda, pero hay otros métodos. La empresa de seguridad informática ha emitido un comunicado donde lo explican detalladamente. Se encuentra en el apartado de seguridad de su web y lo podéis leer AQUÍ.
Una vez más insistimos en que no queremos asustar a nadie, pero sí nos gusta que todos seáis conscientes de que las incidencias de ciberseguridad están a la orden del día. Por eso este artículo lo hemos titulado “El juego del calamar” y nuevas ciberdelincuencias varias porque en muy poco tiempo hemos conocido incidencias que pueden afectar a muchas personas y empresas. Que una serie estrenada a mediados de septiembre tenga un malware hecho a medida en octubre indica la profesionalización a la que se ha llegado en la delincuencia cibernética.
Del mismo modo, vemos que la autenticación de doble factor, con la que todos nos sentíamos muy seguros a pesar del engorro de tener que ir de un aparato a otro ya tiene su contraréplica. El refranero es rico y por eso aquí podemos aplicar aquello de “Hecha la ley, hecha la trampa”. Y como explica el informe de HP y parafraseando el refranero, “trampas, haberlas, haylas”.
¿Cuándo os tomaréis verdaderamente en serio la ciberseguridad y pediréis consejo a los profesionales?
Imagen principal: uno de los símbolos icónicos de la serie “El juego del calamar”.
Imagen de Ishwar Artist en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Explicando nuestros servicios (II): CISO externo
Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.
La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.
Pero… ¿qué porras es un CISO?
CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.
¿Qué responsabilidades tiene?
Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:
- Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
- Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
- Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
- Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.
Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.
En España, ¿qué sectores están obligados por ley a contar con un CISO?
Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:
Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.
“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”
¿Cuál es la problemática actual de los CISO de una empresa?
Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.
- Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
- ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
- El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO. - Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?
¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?
- Auditoria de la infraestructura, poco a poco durante los primeros meses.
- Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
- Revisión de assets (activos) públicos y correo electrónico (dominios propios).
- Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
- Campaña phising simulada, periódica.
- Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
- Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
- Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.
“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”
¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?
- Análisis y gestión de riesgos. Infraestructura interna y protocolos.
- Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
- Gestión del personal y profesionalidad. Formación, formación y formación.
- Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
- Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
“Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”
No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Pequeñas cosas que hacen la vida más fácil
Estamos en el mes de la ciberseguridad y algunas empresas lo han aprovechado para sacar novedades al mercado o anunciar importantes novedades. En este segundo caso se encuentra nuestro amigo Google, del que hablaremos a continuación. Por su parte, algunas Administraciones también han propuesto nuevas leyes o normas para luchar contra engaños. Es el caso de Estados Unidos y los fraudes de las tarjetas SIM o la UE con los cargadores. Son esas pequeñas cosas que hacen la vida más fácil.
Todos somos conscientes de la fuerza y poderío de Google. Nuestra relación con este gigante podría describirse con nuestra famosa frase “ni contigo ni sin ti”. Lo necesitamos (aunque no tanto como solemos creer) a pesar de que hay algunas cosas de su forma de proceder que detestamos.
Así que no paramos de criticar a Google, exigiéndole algunas cosas como en este artículo de nuestro blog titulado ¿Servicios de Google seguros?.
Recurriendo a otra de nuestras frases populares “una de cal y otra de arena”, también debemos decir que se preocupa bastante de ir mejorando sus servicios y seguridad. Hoy queremos explicaros que antes de que acabe este 2021 Google habrá implementado en todas sus cuentas la autenticación de doble factor. Eso significa que lo va a hacer en unas 150 millones de cuentas.
Las novedades que ha presentado Google hacen referencia a que ha introducido en su gestor de contraseñas una herramienta que lo va a posibilitar. Estará integrada en Chrome y Android.
En iOS se incorporará la función de generar una contraseña de forma automática.
Por su parte, en la app de Google se va a introducir una nueva función que permitirá acceder a todas las contraseñas guardadas, directamente desde el menú.
Podéis leer la información sobre el tema que explica Google en su blog oficial.
Y seguimos con un tema también relacionado con el doble factor de autenticación, y también relacionado con otros delitos tecnológicos: las tarjetas SIM de nuestros teléfonos móviles y smartphones.
En la administración de Estados Unidos, la Comisión Federal de Comunicaciones quiere terminar con dos de los fraudes más comunes y que afectan a millones de usuarios: el duplicado de las tarjetas SIM y el fraude de transferencia, que significa que cambian de operador.
Con estas dos maniobras relativamente sencillas, los delincuentes pueden hacerse con los teléfonos y los datos de los usuarios. Para evitar estas prácticas, la Comisión Federal quiere imponer nuevas normas para obligar a los operadores a incrementar la seguridad. Así, por ejemplo, creen que antes de redirigir un número de teléfono a un nuevo dispositivo o a un portador deberían comprobar la identidad del usuario.
También quieren obligar a los operadores a notificar a los usuarios de inmediato cuando se solicite un cambio o una copia de la tarjeta SIM. Podéis leer esta noticia AQUÍ.
A veces parece increíble que estas pequeñas cosas que harían más fácil la vida de millones de usuarios no estén ya implantadas. Si los operadores dedicaran un poco más de recursos a la ciberseguridad en lugar de volcarlos casi todos en la tecnología y nuevas prestaciones a menudo de dudosa necesidad, les estaríamos muy agradecidos.
También la Unión Europea acaba de dar un paso en este sentido. Está valorando la posibilidad de obligar por ley que exista un cargador único y universal para los teléfonos móviles. Después de solicitarlo varias veces a los fabricantes sin ningún éxito, la propuesta es que en el 2024 ya sea una realidad. Y no solo para los smartphones. La ley obligará también a los puertos de dispositivos como tabletas, auriculares, cámaras y altavoces.
En este caso, además de hacernos la vida más sencilla, hay otro importante motivo: reducir el impacto medioambiental y económico que implica tener tantos cargadores diferentes. Y es que la Unión Europea ha valorado en 2.400 millones de euros el gasto anual en cargadores individuales.
La Comisión quiere que los consumidores puedan decidir si quieren adquirir o no un nuevo cargador cada vez que se compren un nuevo dispositivo, para evitar acumular 11.000 toneladas al año de residuos electrónicos. También es una magnífica noticia para el planeta.
Podéis leer la nota de prensa en la web del Parlamento Europeo.
- Publicado en Ecológico, General, Noticias, Seguridad, Sistemas operativos
¿Virus solo en Windows? ¡Claro que no!
Una de las cosas que no nos cansamos de repetir es que no debemos caer en que el árbol no nos deje ver el bosque. Así que hay una tendencia a pensar que Windows es el sistema más vulnerado. Pero no se debe a que sea más fácilmente atacable, sino que se debe a que es el más extendido. Evidentemente hay opciones “malignas” para todos los demás sistemas operativos. O casi todos, porque hay sistemas minoritarios que no captan la atención de los delincuentes. Así que fuera leyendas urbanas y tened muy presente que entre los sistemas que se creen erroneamente invulnerables, dicho por usuarios, tenemos MacOs, o también Linux.
Del primero ya hemos hablado muchas veces, como en este artículo de hace ahora un año, pero de Linux poco, y eso que es el que más usamos, tanto en el día a día, como en trabajos técnicos. Últimamente hemos visto noticias y artículos explicando vulnerabilidades y malware, hecho exprofeso para estos sistemas. Pero debemos deciros que un documento del CCN-Cert nos ha llamado especialmente la atención.
Dicho articulo detalla un malware del tipo ransomware para entornos Linux (ELF64), de la familia RansomEXX, o EXX , también conocido como Defray777 o RansomX.
Lleva circulando y actuando desde el año 2018 y algunos de los casos más sonados han sido:
- Mayo de 2020: el sistema judicial y el Departamento de Transporte del estado de Texas.
- Julio de 2020: la multinacional japonesa Konica Minolta.
- Noviembre de 2020: el sistema judicial de Brasil.
- Finales de 2020: la empresa brasileña Embraer, conocida por ser uno de los mayores fabricantes de aviones civiles de la actualidad. Aparte del cifrado correspondiente, filtraron sus datos, ya que fue víctima de la doble extorsión, tan común últimamente.
Una de las vías de entrada ha sido aprovechar vulnerabilidades en el producto de virtualización VMware, que suele albergar una gran cantidad de máquinas Linux, e infecta los discos duros virtuales.
El modus operandi de los ciberdelincuentes es siempre el mismo: en cada directorio afectado se creará un fichero con el nombre “!NEWS_FOR_EIGSI!.txt” en donde se indican las instrucciones para recuperar los ficheros cifrados.
Si las víctimas pagan el rescate, recibirán una herramienta (decryptor64) con la clave privada correspondiente, con lo que podrán recuperar los ficheros cifrados.
Así pues, si tenéis máquinas Linux, tanto virtuales como físicas, no creáis que son invulnerables.
Y en consecuencia, hay que prepararse adecuadamente. Nuestras recomendaciones:
– Hay que tener siempre un inventario de todo el software, y ver y comparar las vulnerabilidades que vayan apareciendo, para aplicar los parches correspondientes si los necesitáis.
– Tener bien planificadas las copias de seguridad y los planes de impacto y de respuesta a incidentes. De esta forma un ransomware puede ser un problema, pero no EL PROBLEMA definitivo, y el negocio se vea afectado lo mínimo, y no tenga que cerrar.
Esperamos que con este artículo tengáis claro que ¿Virus solo en Windows? ¡Claro que no! Y si no tenéis un responsable que se ocupe, siempre podéis confiar en un profesional que os ayude con todos estos temas, como un servicio externo, pero como si trabajara dentro de vuestra organización. Nosotros estamos aquí para lo que necesitéis.
Imagen principal: Pete Linforth en Pixabay
- Publicado en General, Noticias, Seguridad, Sistemas operativos
5 motivos para preferir un CISO externo en ciberseguridad
Damos por hecho que a estas alturas la mayoría de empresas saben que la ciberseguridad hay que tomársela en serio. Para ello es imprescindible tener la figura de un CISO (director de seguridad de la información). Pero este puesto tan necesario puede externalizarse y os vamos a dar 5 motivos para preferir un CISO externo de ciberseguridad.
1. El problema de los fines de semana, puentes y vacaciones
Acabamos de regresar del mes de vacaciones por excelencia en nuestro entorno. Pero las cosas cambian. Cada vez hay menos empresas que cierran en época estival, aunque eso sí, reducen considerablemente su actividad y eso incluye a los socios tecnológicos.
Como hemos advertido en más de una ocasión, los ciberdelincuentes (que no los hackers, recordad que esos son los “buenos”), saben aprovechar las debilidades de las empresas que tienen en su punto de mira. Esto significa que cuando tienen opciones de entrar, lo hacen. ¿Y qué mejor que aprovechar las debilidades del sistema en un fin de semana, un puente, unas vacaciones? Es entonces cuando el equipo técnico está debilitado o ausente y la capacidad de reacción es nula o muy lenta. También es cuando algún empleado no formado adecuadamente se convierte en un insider (personas dentro de una compañía que divulgan información sensible sobre su empresa).
Todos estos problemas no existen si se externaliza el servicio del CISO, porque la detección y gestión de incidentes no descansa y hay una vigilancia proactiva de 24 horas/7 días a la semana.
2. Los problemas de Recursos Humanos que genera tener un CISO en plantilla
Uno de los motivos por los que las empresas no tienen un CISO de ciberseguridad en nómina es debido a los problemas que conlleva en cuanto a Recursos Humanos. Los principales problemas vienen de la falta de personal adecuadamente formado para esta función. La demanda de profesionales necesarios para cubrir puestos de trabajo relacionados con la ciberseguridad ha aumentado, pero las formaciones actuales aun están lejos de cubrir las necesidades reales del mercado. El resultado es que el sueldo de un CISO profesional es considerable. Además es preciso que tenga un mínimo de equipo para cubrir todas las horas del día, las posibles bajas por enfermedad, vacaciones o cualquier otra contingencia que pueda producirse.
El servicio de CISO externo significa un ahorro significativo para una empresa, por la diferencia entre el coste del servicio y el sueldo del profesional cualificado.
3. Los expertos en ciberseguridad sufren burnout
El tema de los trabajadores “quemados” en el sector ha sido una constante durante el mes de agosto. La imposibilidad de desconectar, el miedo a que se produzca un ciberataque, la angustia que provoca la duda constante de saber si se sabrá reaccionar a tiempo y evitando grandes males a la empresa son las principales causas de este síndrome. Y es que hay una muy estrecha línea entre la ciberseguridad y la salud mental de sus trabajadores. Este estrés continuo provoca que el tiempo medio que aguanta un analista de seguridad en su puesto de trabajo sea de 26 meses en Estados Unidos. Así lo revela un estudio del Instituto Ponemon (institución que promueve el uso responsable de la información y las prácticas de gestión de la privacidad dentro de las empresas y el gobierno) y FireEye (empresa californiana que provee servicios de análisis y prevención de vulnerabilidades) que se dio a conocer el año pasado.
La conciliación familiar es también difícil para estos trabajadores, especialmente por los horarios de trabajo y el tener que estar siempre localizables. El resultado de todo ello es que buscan una mayor tranquilidad laboral y no tener que estar pendientes de posibles emergencias cuando acaban su horario de trabajo.
Si estáis interesados en saber más sobre este llamativo tema, os recomendamos la lectura de este artículo de Business Insider publicado la semana pasada.
Es evidente que externalizar los servicios de un CISO no comportará para la empresa todos estos posibles problemas de salud de sus trabajadores.
4. La ciberseguridad no puede ser un complemento de la empresa, sino parte del negocio
Así de claro se mostraba Iván Portillo en la entrevista que le hicimos junto a Wiktor Nykiel. Ambos son referentes del mundo de la ciberinteligencia y lo tienen muy claro. Todas las pymes y grandes empresas tienen que destinar partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Además, como ellos se encargan de recordarnos, “no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.”.
También en TECNOideas lo tenemos claro: hay que construir la ciberseguridad desde el mismo momento que hay un proyecto empresarial. Ambos han de crecer en paralelo. Y para una empresa que comienza no hay nada mejor que externalizar este servicio. Dejarlo en manos de profesionales capaces de asesorar, recomendar y buscar las mejores soluciones en todo momento, así como mantener todos los equipos actualizados. Y si además ofrece formación adecuada para todos los niveles de trabajadores de la empresa, mucho mejor.
El tema se ha complicado mucho con el teletrabajo y la necesidad de extender la ciberseguridad a los hogares de los trabajadores. Ya os hemos informado sobradamente de los peligros que entraña el teletrabajo. El servicio externalizado permite más fácilmente ampliar la ciberseguridad a los equipos domésticos.
Externalizar este servicio significa estar siempre al día en cuanto a actualizaciones de ciberseguridad y opciones de formación para todos los niveles de trabajadores de la empresa.
5. La ley obliga a tener un responsable de la seguridad de la información y permite que este servicio sea externo
El marco normativo es muy claro. Establece que los operadores de servicios esenciales deberán nombrar una persona u órgano colegiado responsable de la seguridad de la información. Ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) de referencia. Este servicio puede ser externalizado.
La ley se aplica a los operadores de servicios esenciales dependientes de las redes y sistemas de información de diversos sectores estratégicos. También a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Las empresas que externalizan este servicio cumplen la normativa legal mucho antes que las que optan por buscar e incorporar un CISO a su plantilla.
Si tenéis dudas sobre estos 5 motivos para preferir un CISO externo de ciberseguridad
o queréis saber más sobre las tareas propias de un CISO,
podéis acceder a toda la información que tenéis en nuestra web,
en el apartado Servicio CISO Externo.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
¿Quién ha hecho el agosto con los problemas de ciberseguridad?
Nuestra lengua está llena de expresiones populares que se transmiten de padres y madres a hijas e hijos de forma muy natural. Una de las más conocidas es “hacer el agosto” que viene a significar hacer buen negocio. Pues bien, ahora que este mes llega a su fin, hemos querido explicaros algunos casos interesantes de ciberdelincuencia así como datos sobre pagos de ransomware que hemos conocido este verano. Lastimosamente debemos preguntarnos ¿quién ha hecho el agosto con los problemas de ciberseguridad?
1.- ¿Será la familia FlyTrap?
FlyTrap es una nueva familia de troyanos móviles descubierta por la compañía estadounidense de ciberseguridad Zimperium. Sus técnicos no solo han descubierto este malware, sino que han constatado que se distribuye a través de técnicas de ingeniería social para engañar a los usuarios. Con ello pueden “robar” las credenciales de acceso, datos de ubicación, dirección IP, correo electrónico, etc. de los usuarios de Facebook. La distribución se hacía a través de aplicaciones maliciosas de Google Play y otras plataformas familiares para los afectados, como Netflix o aplicaciones de la Eurocopa de fútbol.
Hay que decir que este malware ataca a los dispositivos Android y gracias a la técnica de ingeniería social, ha afectado rápidamente a más de 10.000 usuarios de 140 países diferentes, España incluida. Su aparición tuvo lugar en el mes de marzo de este año en Vietnam, pero hasta este verano Zimperium no ha logrado descubrirlo.
Tenéis una extensa información de este malware y la forma de actuación en la web de Zimperium.
2.- ¿Serán los ciberdelincuentes del grupo RansomEXX que atacaron a Gigabyte?
Gigabyte Technology es una fábrica de ordenadores y componentes informáticos de Taiwan, que en pleno mes de agosto ha sufrido un ciberataque de ransomware. Los ciberdelincuentes, que como marca la norma, hicieron su ataque en viernes, se apoderaron de 112 GB de datos, accediendo a una serie de servidores de la compañía.
La empresa actuó con celeridad, activó sus mecanismos de seguridad, cerró sus sistemas, notificó el ataque a las autoridades y el mismo viernes retomó el funcionamiento de sus actividades. Un buen ejemplo de como solucionar un ataque de ransomware gracias a que tenían bien definida su política de ciberseguridad, algo que reclamamos continuamente desde TECNOideas y asi lo expresamos a nuestros clientes.
Todo parece indicar que el ataque es obra del grupo RansomEXX, especializado en ransomware. Tenéis toda la información sobre este grupo y como neutralizarlo en la web pcrisk.es
3.- ¿El agosto pasa a ser cada mes con los pagos a los delincuentes?
El pago promedio de ransomware ha experimentado un aumento del 82% en el primer semestre del año.
La demanda promedio de un rescate aumentó un 518% en el primer semestre de 2021, llegando a los 5,3 millones de dólares, frente a los 847.000 de 2020. Esta espectacular cifra se debe precisamente a las tácticas cada vez más agresivas que emplean los ciberdelincuentes para obligar a empresas y organizaciones a pagar rescates. Un buen ejemplo de ello es la llamada “extorsión cuádruple”, que puede llevar desde el cifrado y robo de datos hasta el cierre de webs de las víctimas.
Según la empresa Unit 42, una consultora de seguridad que forma parte de Palo Alto Networks, el aumento de la “extorsión cuádruple” significa que los ciberdelincuentes usan hasta cuatro técnicas distintas para presionar a sus víctimas para que efectúen el pago. Las más conocidas son:
• El cifrado. O sea pagar para recuperar el acceso a datos codificados.
• El robo de datos, que se divulgan en caso de no pagar.
• Ataques de denegación de servicio, que acaban con el cierre de las webs públicas de la víctima.
• El acoso: los delincuentes se ponen en contacto con los clientes, socios comerciales, empleados o incluso medios de comunicación para informar que la empresa en cuestión ha sido pirateada.
Moraleja 1: más vale prevenir que curar. Solamente implantando buenos planes de ciberseguridad podemos afrontar con posibilidades de éxito un ataque de malware o de ransomware. Y si además las empresas tienen formado a su personal, las posibilidades de éxito aumentan considerablemente.
Moraleja 2: la ciberseguridad no es un gasto; es una inversión. No nos cansamos de repetirlo. Solo leyendo el último párrafo de nuestro artículo seremos capaces de darnos cuenta de las cifras que manejan los ciberdelincuentes.
Moraleja 3: no vale pensar que mi empresa es pequeña y no seré objeto de deseo de los ciberdelincuentes. Error. En este artículo hablamos de ciberdelincuentes muy especializados, si. Pero en el mundo del hampa hay muchos tipos de delincuentes. Los hay que se conforman con pymes, porque creednos, la mayoría son muy vulnerables y no tienen planes de ciberseguridad.
Y bueno, ya estáis en condiciones de votar. ¿Quién creéis que ha hecho el agosto con los problemas de ciberseguridad?
Imagen principal: Darwin Laganzon en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad
¿Cuánto vale la empresa de antivirus y seguridad más grande de Europa? ¿Qué os parece entre 7.000 y 8.000 millones de dólares?
Si todavía hay escépticos sobre la importancia de la ciberseguridad, la noticia que se difundió ayer quizá les hará cambiar de opinión. Y es que Norton ha adquirido Avast por esa cantidad tan extraordinaria de dinero, que sitúa esta operación como una de las más importantes del sector tecnológico.
permitirá una mejor ciberseguridad
a nivel global.
Norton LifeLock es una empresa de software estadounidense fundada en 1982 y que tiene su sede en Arizona. Anteriormente era conocida como Symantec. La compañía proporciona productos de ciberseguridad y su buque insignia es su famoso antivirus Norton. La empresa cotiza en el Nasdaq, el índice bursátil norteamericano.
Podéis conocer más sobre sus productos en la web para España de Norton AQUÍ.
Por su parte AVAST es también un software antivirus, en este caso de la empresa checa Avast Software, que lo empezó a desarrollar en 1988 y lo lanzó oficialmente en 1991. Tiene su sede en Praga y es el líder europeo del sector. A pesar de ser checa, la empresa cotiza en la bolsa de Londres. De hecho, las dos empresas son líderes en sus respectivos continentes y por ello, a nivel mundial eran rivales.
Si deseáis saber más sobre su cartera de productos, podéis navegar por su web para el mercado español AQUÍ.
Una operación de 8.000 millones de dólares
El anuncio hecho público ayer sobre que Norton compraba Avast ha causado sensación en todo el mundo. Por la cantidad de dinero puesto sobre la mesa y porque la unión de los dos gigantes abre las puertas a una mayor protección cibernética global, puesto que ambas compañías esperan que la unión les permitirá aprovechar mejor los recursos. La operación se ha acelerado al ver como las amenazas globales iban en aumento progresivo.
Se calcula que la nueva empresa surgida de esta unión va a facturar unos 900 millones de dólares al trimestre y que tendrá la friolera de 500 millones de usuarios en todo el mundo.
Aunque ambas empresas han comunicado la operación como una fusión, el sector lo ha visto como una absorción. De hecho la operación combina el efectivo y el intercambio de acciones. Bueno, en realidad Norton compra todas las acciones de Avast y la nueva sociedad va a cotizar en la bolsa estadounidense.
Podéis leer la noticia en inglés en el portal de economía de Yahoo AQUÍ. Y si lo preferís en castellano, los periódicos de hoy recogen la noticia, pero os recomendamos la lectura del artículo del periódico Cinco Días publicado ayer.
El impacto de la noticia, más allá de las repercusiones en la economía global, nos lleva ineludiblemente a valorar la ciberseguridad como una de las necesidades de cualquier empresa, sea grande, mediana o pequeña. Y es una prueba más de que lo importante es luchar contra la ciberdelincuencia desde el principio, creando las oportunas barreras de ciberseguridad en todos los sistemas y aparatos de las empresas al tiempo que se forma en ciberseguridad a sus trabajadores. Dos principios básicos para TECNOideas 2.0 que podéis encontraren respectivamente en nuestra sección SERVICIOS y FORMACIÓN de nuestra web.
Imagen principal: RIFKIE DRAJAT PUTRA PRATAMA en Pixabay
Seguros de ciberriesgo, no os la juguéis a una sola carta!
Algunas empresas creen que un seguro de ciberriesgo basta para cubrir posible incidentes de ciberseguridad. Pero eso no es exactamente así y pueden encontrarse con muchas sorpresas. Leer la letra pequeña, entender lo que se propone exactamente en la póliza y saber que es un seguro y como actúa. Pensad que estos productos son genéricos y somos nosotros los que hemos de cumplir, igual que si lo hiciéramos para un vehículo: en caso de accidente y el conductor con positivo en alcohol o drogas ¿la aseguradora nos cubriría?
Hace unos años celebrábamos que por fin, el sector seguros se pusiera manos a la obra con los ciberriesgos, y ofreciera estos productos a empresas no tan grandes, que hasta ahora eran las beneficiarias de estas pólizas.
Pero tras unos años de gran aceptación, de su comercialización incluso a través de bancos, y sobre todo, contratándolos sin ton ni son a empresas que no tenían securizados —ni en lo más mínimo— sus sistemas, ha hecho que los incidentes sigan estando presentes, se sigan repitiendo (incluso varias veces en las mismas infraestructuras) y por lo tanto, se empiezan a no pagar ciertos incidentes, y a subir el precio de las pólizas.
El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Así que el daño que ocasiona el ransomware y lo que le cuesta a las empresas su rescate ha tenido también mucho que ver. ¿Por qué? Pues porque las empresas querían aprovechar estas pólizas para poner su futuro en manos de un seguro. Craso error, porque lo que de verdad es interesante es ponerse en manos de la tecnología, formar a sus equipos y elaborar planes concretos. Y cuando eso no se hace, llegan los incidentes y se espera que el seguro pague.
Tan importante es el tema que os queremos recomendar una publicación: Ransomware: una guía de aproximación para el empresario que publicó el INCIBE y que podéis descargaros AQUÍ.
Muchos han pasado por todo esto y por malas planificaciones. Y entonces llega la aseguradora y por mucho empeño y ayuda que ponga, al darse cuenta que la empresa en cuestión no tiene una política de seguridad correcta y aprovechable, solo puede recomendar pagar el rescate. Y debemos decir que este pago, en este país, es ilegal y objeto de persecución por parte del Ministerio de Hacienda, como bien se describe en este artículo de El Economista que podéis leer AQUÍ.
Pero sigamos, porque llegados a este punto tenemos la ecuación perfecta: aumento de incidentes = aumento de gasto. En consecuencia no queda más que subir la prima de las pólizas, como bien reza este ARTÍCULO.
Tampoco es muy buena idea contratarlas sin ton ni son. En este segundo caso hay aseguradoras que mas que una póliza te da unos servicios propios, obligatorios, que si fallan, entonces si pagan la cobertura.
Y ya hay informes de que una empresa que pague un rescate, como ya hizo poco anteriormente por la seguridad, los ciberdelincuentes saben que son un caramelo: accesibles y pagan rescate, así que vuelven a actuar contra ellos. Nada menos que lo cuantifican en un 80%, las empresas que han cedido al chantaje y vuelven a ser vulneradas en menos de un año, y casi siempre por el mismo grupo. Artículo al completo AQUÍ.
Nos gusta ser profesionales, así que, aunque una aseguradora pueda pagar por este tipo de incidencia, nos preguntamos: ¿cómo se atreven las empresas a no hacer ninguna acción preventiva y fiarlo todo a la carta de “ya me lo arreglará el seguro, porque para eso lo pago”?
Insistimos una vez más: un seguro debe ser un producto complementario a nuestros planes de ciberseguridad, lo más completos posibles, revisables cada cierto tiempo, y con una guinda, como podría ser esta opción. Pero nunca, nunca el seguro debe ser nuestro único plan.
Por eso mismo TECNOideas ofrece entre sus servicios la opción de buscar un seguro que cubra todas vuestras necesidades según vuestra facturación anual. Y esa es otra, porque los ciberdelincuentes suelen pedir el rescate según la facturación anual de una empresa y por eso las compañías de seguros aplican el mismo criterio al valorar la prima a pagar por un ciberseguro.
Imagen principal: Mary Pahlke en Pixabay
Factura digital vs factura enviada por e-mail
Hay conceptos y hábitos muy arraigados cuando usamos la tecnología. La mayoría se basan en habladurías, conformismo o no querer buscar una mejor opción. Así cuando preguntamos a los clientes las respuestas suelen ser parecidas a estas: “todo el mundo lo hace”, “no pasa nada”, “mis compañeros lo hacen igual” o “¿si no, cómo lo hago?”. Y así se cumple una de nuestras premisas: los primeros que facilitan el trabajo a los ciberdelincuentes son los propios usuarios.
En seguridad de la información, estas premisas no valen, y debemos buscar siempre las mejores opciones, aunque a veces sea sacrificando un porcentaje de productividad diaria, que es mínimo por mucho que la gente se empeñe en decir lo contrario. Temas como guardar las contraseñas en el navegador, no cambiar las de entrada al ordenador cada cierto tiempo, revisar el remitente de cada correo, pensar tres segundos antes de clicar un enlace, etc.
Seguridad y LOPD
La seguridad debería ser una de las prioridades de cualquier empresa y por supuesto, cumplir la Ley Orgánica de Protección de Datos (LOPD). Uno de los temas más importantes y que peor se trata, en general, es el envío de facturas y otra documentación sensible por correo electrónico. Enviar con un simple correo electrónico contratos, nóminas, recibos bancarios o incluso Zips con todo lo anterior, es una práctica relativamente habitual. ¿Alguno de vosotros ha enviado un paquete similar a vuestro gestor durante la campaña de la Renta?
Ya sabemos que hay que diferenciar lo importante de lo urgente, pero eso no debería ser excusa para enviar archivos de esta forma, escudándose en que “es necesario para una gestión”.
Recientemente y nada menos que para la inscripción en un curso de protección de datos, nos obligaban a enviar todos estos documentos y alguno más, a través de un simple correo electrónico, sin ofrecernos una alternativa segura. Y en caso de no hacerlo, nos anunciaron que no podríamos matricularnos en el curso.
Pero… ¿es seguro el correo electrónico?
Pues depende de muchas cosas, pero mayormente y debido al mal uso, la respuesta debe ser que no es seguro; y vamos a razonarlo.
En primer lugar, puede depender de si estamos incluidos en listas de distribución de spam, con lo que nos llegaran más correos de este tipo, y seguramente también correos de phishing u otros potencialmente peligrosos.
También puede depender de si hemos usado con anterioridad algún servicio y claro, si lo hemos hecho estaremos registrados con ese correo electrónico. En principio no debe pasar nada, pero si la empresa que ofrece el servicio demandado ha tenido una fuga de información (cosa muy, muy habitual), nuestras credenciales han sido comprometidas, tanto el usuario (e-mail) como la contraseña usada.
Llegados a este punto, cualquiera que vea una de estas listas podrá acceder a nuestro correo, ya que casi todas tienen activada la opción cliente web.
Esta opción permite interactuar con nuestra cuenta a través de un navegador web, o la opción de autoconfigurar para clientes tipo IMAP (del inglés Internet Message Access Protocol, o sea Protocolo de Acceso a Mensajes de Internet) o POP3, (Post Office Protocol = Protocolo de Oficina de Correo), lo que a efectos prácticos significa la totalidad de clientes de correo de ordenador o de smartphone.
Una vez accedido a nuestro correo, el modus operandi es esperar a que haya algún tema jugoso que pueda reportar mucho dinero al ciberdelincuente, en lugar de cambiar la contraseña, coger esta factura, editarla, cambiar la cuenta bancaria de destino, y esperar que pique.
Muchas empresas miran solo la última factura, no comparan los datos de su sistema de gestión con dicha factura, o no llaman al proveedor si hay un cambio que no concuerda con los datos que tenía.
Tampoco tienen un protocolo para grandes facturas, y cambio en la operativa normal, de ahí que los casos que atendemos de facturas interceptadas, cuenta cambiada, y transferencia hecha, sean frecuentes. Y lo que nos pide el cliente suele ser inviable: que le demos la razón a él, en una petición de análisis forense, cuando suele ser lo contrario.
No os podéis imaginar hasta que punto somos vulnerables. Y no solo por los ciberdelincuentes. Un cliente nos contactó para explicarnos que una factura suya, enviada en PDF sin encriptar, fue manipulada por la empresa destinataria (cosa muy sencilla de hacer con las herramientas actuales), consignando la mitad del importe real a pagar. Cuando nuestro cliente protestó le enviaron la factura retocada diciéndoles que es lo que él había enviado y que iban a pagar lo que constaba en la factura.
¡Hay soluciones!
Pero si tan negro lo pintamos ¿cómo podemos mejorar o asegurar el envío de facturas o procedimientos de cobro?
Pues tampoco es tan difícil: un poco de paciencia y de empeño para cambiar hábitos. Ahí van algunas opciones:
• Documento firmado digitalmente enviado por correo electrónico.
De esta forma el destinatario puede comprobar si ha sido modificado entre envío y recepción. Se pueden realizar estas firmas de varias maneras, siendo las dos más usadas en nuestro país las siguientes:
– certificado personal o empresarial, expedido por la Fábrica Nacional de Moneda y Timbre.
– clave personal y pública, criptografía asimétrica, lo que se conoce como PGP, también muy usado en el correo electrónico.
• Factura enviada a través de plataforma segura.
Hay varias alternativas en el mercado. Son plataformas donde se puede enviar información y que para descargarla se necesitan varios factores de autenticación. Además la información va encriptada desde que se sube a la plataforma hasta que la descarga el destinatario final.
• Portal cliente para descargarse facturas.
Se notifica que hay una factura disponible con un aviso al usuario o empresa y ésta se la puede descargar directamente de la plataforma de gestión del proveedor, sin ningún tipo de intermediario en el proceso.
También se suelen firmar digitalmente, ya que la mayoría de las plataformas de gestión tienen esta opción y ofrece una mayor tranquilidad y seguridad.
• Portal de facturación electrónica.
En el caso de no tener la opción anterior y ni siquiera un programa de gestión, tampoco nos interesa un gran sistema de gestión integral (ERP), porque nuestro volumen de facturas (aunque no de facturación) es pequeño. La solución podría ser usar varios de estos portales, donde te realizan la factura, te la firman digitalmente, y la envían al cliente, todo de forma sencilla, y segura, que es lo que importa.
¿Qué hacemos con las facturas impagadas?
Pero seguramente otro de los problemas que más preocupa a las pymes y autónomos es el de los impagos. Tener facturas pendientes de cobro es, desgraciadamente, una práctica extendida, que ocasiona muchos problemas en las contabilidades, en el pago de impuestos, en las cajas y en el tiempo que se ha de dedicar a reclamarlas.
En este mismo saco tenemos el recobro de facturas por atrasos o morosos, ya sea en formato digital como en papel. Es un auténtico dolor de cabeza.
Pero también en este caso hay soluciones. Y mucho más sencillas de lo que podéis pensar. Os proponemos que conozcáis un agente de cobro inteligente de vuestras facturas, como es el caso de Dunforce, que entre varias de sus ventajas posee la opción de integración con SAGE, uno de los softwares de gestión empresarial y facturación más usado por las pymes en Europa. Dunforce os puede ayudar a modernizar vuestra empresa y facilitaros mucho el trabajo, porque es un software de recobro de facturas automatizado, que consigue reducir la morosidad en un 35% y el trabajo de cobro en un 90%. Fue premiada por el BBVA ya en el año 2018.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Consultoría, General, Noticias, Seguridad
Amador Aparicio: “estamos exportando jóvenes formados en España con puestos de responsabilidad”
Segunda parte de la entrevista a Amador Aparicio que iniciamos la semana pasada. Amador es ingeniero informático y docente y es uno de los profesionales más reconocidos de España. Tras hablarnos de la situación de la enseñanza de la ciberseguridad hoy abordamos temas más específicos. ¡Esperamos que os guste!
Terminamos la primera parte de la entrevista hablando de tus libros. Hoy damos un paso más en tu carrera y nos gustaría comenzar por tu trabajo como miembro del Comité CTN 320 de ciberseguridad y protección de datos personales en la Asociación Española de Normalización. ¿Qué objetivos persigue esta asociación?
Cierto, desde enero de 2021 formo parte de este comité. El trabajo es más de asesoramiento para la normalización de actividades, que técnico. El principal objetivo es la normalización de los métodos, técnicas y directrices en el ámbito de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI, lo que incluye las siguientes áreas:
• Metodología para la captura de requisitos.
• Técnicas y mecanismos de seguridad, incluidos los procedimientos para el registro de los componentes de seguridad.
• Gestión de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI.
• Documentación de apoyo a la gestión, incluyendo las normas relativas a la terminología, la evaluación de la conformidad y los criterios de evaluación de la seguridad.
• Los requisitos y directrices para la protección de los datos personales y la privacidad de las personas, incluyendo los aspectos de gestión y requisitos de privacidad por diseño y por defecto.
Formas parte del equipo de captación de talento de Telefónica, Talentum Startups desde 2013. Los jóvenes tienen la mirada puesta en California, pero ¿tenemos mucho talento en España? ¿Hay futuro para los jóvenes que deseen quedarse y no salir al extranjero?
Sí, formo parte del Programa de Captación de Talento de Telefónica desde diciembre de 2013 y me ha permitido conocer a gente de todas las universidades españolas durante todos estos años. Las universidades en España están haciendo un buen trabajo porque estamos exportando jóvenes formados en España al extranjero con puestos de responsabilidad que exigen un alto conocimiento técnico y capacidad. Sin ir más lejos, el responsable de seguridad de Google es o era un chico de Valencia, Fermín Serna, lo que indica que en España las universidades tienen un buen nivel y que la gente sale bien preparada de ellas.
“Lo que buscamos en las universidades
es gente con actitud y con capacidad y
habilidades tecnológicas
que se apasionen haciendo cosas y
no los mejores expedientes.”
Lo que buscábamos (y buscamos) en las universidades (y fuera de ellas) era gente que hubiera hecho cosas por su cuenta en forma de proyectos tecnológicos, no sólo que tuviese buenas ideas, sino que tuviera la capacidad tecnológica de transformar esa idea en producto, gente que tuviese pasión por la tecnología y que hiciera cosas por su cuenta. No buscábamos los mejores expedientes (aunque los ha habido), sino gente con actitud y con capacidad y habilidades tecnológicas que se apasionase haciendo cosas, que hubiera hecho pequeños proyectos que pudiéramos ver.
Sobre lo que planteas de si hay talento es España, conozco a grandes profesionales del sector, pero la COVID-19 ha revelado información al respecto: se ha producido un incremento en el desempleo mayor al de la oferta de puestos de trabajos especializados, y esa es una de las razones por la que hay más ofertas de empleo, por ejemplo en ciberseguridad, frente a la demanda de empleo, lo que podría indicar que en España no hay tanto talento digital como aparece en los medios y redes sociales y donde más ha crecido el número de empresas que ofrecen trabajo a expertos en nuevas tecnologías, de ahí que sea complicado cubrir toda la demanda de profesionales. Sobre este tema os propongo leer este artículo del diario El País Financiero.
Para acabar este bloque sobre tu aportación en varias instituciones, debemos hablar también del programa CSE (Chief Security Envo) de ElevenPaths, del que formas parte. ¿En qué consiste realmente el programa?
Desde ElevenPaths, la Unidad de Ciberseguridad de Telefónica, se creó un programa similar a los MVP de Microsoft, pero en este caso aplicado al mundo de la ciberseguridad. La idea del programa es doble, por un lado hacer un reconocimiento público a profesionales del sector y por otro realizar aportaciones de ciberseguridad para llegar a más lugares.
En mi caso, si me preguntas quién tuvo la culpa, te diría que Pablo González, que fue quien me puso en contacto con el programa en diciembre de 2018. Después, Pablo San Emeterio fue quién realizó el proceso de selección y al final quedamos seleccionados 10 personas en España y 6 personas en Ecuador. Por cierto, este año también he vuelto a recibir el reconocimiento y para mí es muy motivador poder estar relacionado con ElevenPaths porque podemos probar algunos de sus productos, proponer mejoras, tener acceso a tecnología disruptiva en algunos casos y poder estar presentes en foros especializados.
La verdad es que las opciones de la ciberseguridad van alcanzando cotas importantes en diversos sectores. En este blog ya hemos hablado de la importancia de que los coches sean ciberseguros. ¿Puedes hablarnos del Hacking Car y por qué está tan de moda?
Creo que estuvo más de moda hace 2 ó 3 años. En congresos de seguridad hubo ponencias relacionadas con Car Hacking, de hecho, Jordi Serra y yo estuvimos en Navaja Negra y en las Jornadas CCN-CERT en 2018 con ponencias sobre Car Hacking. En nuestro caso estudiamos técnicas para leer las tramas que viajaban por la red CAN BUS de los coches, modificarlas y volver a inyectarlas al coche para que éste hiciera cosas y cambiar así su comportamiento.
Las ponencias de Car Hacking estaban relacionadas con las comunicación interna de la red del coche sobre el bus CAN, y sobre radiofrecuencia aplicada en llaves sin contacto y el sistema de monitorización de presión y temperatura de las ruedas.
Los estudios de Charlie Miller y Chris Valasek en ese campo fueron tremendamente impactantes con el hackeo del Jeep, pero ellos tenían toda la información de los fabricantes de los distintos dispositivos del coche.
Sobre los coches ciberseguros:
“La Unión Europea hará cumplir la norma a partir de julio de 2022 y
afectará a todos los vehículos nuevos a partir de julio de 2024.
Para lograr el certificado de ciberseguridad,
los fabricantes deberán demostrar que sus modelos
están protegidos frente a 70 vulnerabilidades.“
Ahora es más complicado encontrar ponencias de este tipo porque una de las conclusiones a las que llegamos es que los fabricantes no aportan ningún tipo de información, hay que disponer de un buen laboratorio y material de medición y monitorización de datos y, sobre todo, hay que tener coches para hacer pruebas, y eso no está al alcance de cualquiera, de ahí que sea complicado avanzar por ese campo si no es con el apoyo de un fabricante interesado que te proporcione el material para realizar todas las pruebas necesarias.
Y no debemos olvidarnos del cine, en muchas películas puedes ver como hackean un coche y toman el control total sobre él…. Y eso es prácticamente imposible por la segmentación que existe en las redes internas de los automóviles.
¿Puedes hablarnos de la legislación al respecto? El 1 de enero de 2022, ¿todos los coches deberán ser ciberseguros? ¿Solo los nuevos, los de segunda mano no?
Cierto, la Unión Europea ya ha anunciado que hará cumplir la norma a partir de julio de 2022 y afectará a todos los vehículos nuevos a partir de julio de 2024. Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.
En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados, lo que impediría que se pudiesen vender.
La normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado APTO de ciberseguridad.
Este sector avanza muy rápido, gracias a que la tecnología no tiene freno. ¿Cómo te imaginas el sector de aquí a veinte años?
Ni idea, creo que tendría que preguntárselo a mis hijas dentro de unos años… (risas).
¿Habéis aprendido muchas cosas? Esperamos que os haya gustado esta entrevista. Si todavía no habíais leído la primera parte, os lo ponemos fácil: sólo tenéis que clicar AQUÍ.
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
Español 
Català