La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.

Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Publicado en Ataques / Incidencias, General, Normativa, Noticias, Seguridad
Buzoneo maldito y llave USB maliciosa
El ser humano es curioso por naturaleza. Pero a veces nos olvidamos que la curiosidad mató al gato. Recibir en el buzón una memoria USB que no hemos pedido nos llevará ineludiblemente a ponerla en nuestro ordenador para ver el contenido. ¡Cuidado! Seguramente albergará un ransomware. Y el falso remitente será un avispado ciberdelincuente.
Esta práctica, que parece sacada de una película de Bond, James Bond, acaba de ser una realidad en el Reino Unido. El tema es como sigue: uno recibe un paquete en su buzón. Al abrirlo hay una supuesta copia nueva y original de Microsoft Office Professional Plus (valorado en unos 400 euros) con una llave USB. Al poner el USB aparece un mensaje en el que se informa que tienes un virus. Y aparece un número de teléfono. Se bloquea el ordenador. El ransomware ha cumplido con su razón de ser. Solo queda llamar al teléfono en cuestión. Se piden los datos y la estafa es un hecho.
Martin Pitman es un experto consultor de la empresa especializada en seguridad cibernética, defensa y sector nuclear Atheniem. Pitman ha examinado el USB y el estuche de Microsoft y ha manifestado su sorpresa por lo bien que han copiado todos los elementos del paquete. Lo que implica que los ciberdelincuentes se han molestado en crear un producto de alta calidad y por lo tanto bastante caro. Pero con solo un puñado de estafados ya les sale a cuenta. Por su parte Microsoft declaró que la estafa era real.
Hay que decir que este método no es nuevo. El buzoneo con trampas varias ya había sido usado hace años por ciberdelincuentes. Esta práctica fue cayendo en desuso, porque los buzones cada vez están más vacíos. Sin embargo, la locura de comprar por internet en plataformas tipo Amazon, ha hecho que los delincuentes la recuperen. Para saber más sobre esta estafa, podéis leer un artículo de Sky News donde explican lo que ha sucedido en Gran Bretaña. Y si lo preferís, en nuestro país ha sido Computer Hoy la que le ha dedicado un artículo que podéis leer AQUÍ.
La curiosidad mata al gato decíamos al inicio. Y es que lo sabemos a ciencia cierta porque lo hemos probado. Hace unos años, esta empresa se dedicó a dejar en las oficinas de algunos de nuestros clientes una memoria USB con el título “Importe nóminas dirección”. La tasa de apertura fue del 98%. Debemos decir que esa actuación nuestra contaba con el beneplácito de la dirección. Fue una prueba para ver el grado de sensibilización de los trabajadores ante memorias desconocidas. Y por supuesto, no había el contenido anunciado.
Una vez más insistimos en la necesidad de usar el sentido común. Pensar unos segundos antes de realizar cualquier acción desconocida como abrir correos electrónicos o sus adjuntos es una práctica que debemos recomendar.
Imagen principal: Esa Riutta en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Seguros de ciberriesgo, no os la juguéis a una sola carta!
Algunas empresas creen que un seguro de ciberriesgo basta para cubrir posible incidentes de ciberseguridad. Pero eso no es exactamente así y pueden encontrarse con muchas sorpresas. Leer la letra pequeña, entender lo que se propone exactamente en la póliza y saber que es un seguro y como actúa. Pensad que estos productos son genéricos y somos nosotros los que hemos de cumplir, igual que si lo hiciéramos para un vehículo: en caso de accidente y el conductor con positivo en alcohol o drogas ¿la aseguradora nos cubriría?
Hace unos años celebrábamos que por fin, el sector seguros se pusiera manos a la obra con los ciberriesgos, y ofreciera estos productos a empresas no tan grandes, que hasta ahora eran las beneficiarias de estas pólizas.
Pero tras unos años de gran aceptación, de su comercialización incluso a través de bancos, y sobre todo, contratándolos sin ton ni son a empresas que no tenían securizados —ni en lo más mínimo— sus sistemas, ha hecho que los incidentes sigan estando presentes, se sigan repitiendo (incluso varias veces en las mismas infraestructuras) y por lo tanto, se empiezan a no pagar ciertos incidentes, y a subir el precio de las pólizas.
El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Así que el daño que ocasiona el ransomware y lo que le cuesta a las empresas su rescate ha tenido también mucho que ver. ¿Por qué? Pues porque las empresas querían aprovechar estas pólizas para poner su futuro en manos de un seguro. Craso error, porque lo que de verdad es interesante es ponerse en manos de la tecnología, formar a sus equipos y elaborar planes concretos. Y cuando eso no se hace, llegan los incidentes y se espera que el seguro pague.
Tan importante es el tema que os queremos recomendar una publicación: Ransomware: una guía de aproximación para el empresario que publicó el INCIBE y que podéis descargaros AQUÍ.
Muchos han pasado por todo esto y por malas planificaciones. Y entonces llega la aseguradora y por mucho empeño y ayuda que ponga, al darse cuenta que la empresa en cuestión no tiene una política de seguridad correcta y aprovechable, solo puede recomendar pagar el rescate. Y debemos decir que este pago, en este país, es ilegal y objeto de persecución por parte del Ministerio de Hacienda, como bien se describe en este artículo de El Economista que podéis leer AQUÍ.
Pero sigamos, porque llegados a este punto tenemos la ecuación perfecta: aumento de incidentes = aumento de gasto. En consecuencia no queda más que subir la prima de las pólizas, como bien reza este ARTÍCULO.
Tampoco es muy buena idea contratarlas sin ton ni son. En este segundo caso hay aseguradoras que mas que una póliza te da unos servicios propios, obligatorios, que si fallan, entonces si pagan la cobertura.
Y ya hay informes de que una empresa que pague un rescate, como ya hizo poco anteriormente por la seguridad, los ciberdelincuentes saben que son un caramelo: accesibles y pagan rescate, así que vuelven a actuar contra ellos. Nada menos que lo cuantifican en un 80%, las empresas que han cedido al chantaje y vuelven a ser vulneradas en menos de un año, y casi siempre por el mismo grupo. Artículo al completo AQUÍ.
Nos gusta ser profesionales, así que, aunque una aseguradora pueda pagar por este tipo de incidencia, nos preguntamos: ¿cómo se atreven las empresas a no hacer ninguna acción preventiva y fiarlo todo a la carta de “ya me lo arreglará el seguro, porque para eso lo pago”?
Insistimos una vez más: un seguro debe ser un producto complementario a nuestros planes de ciberseguridad, lo más completos posibles, revisables cada cierto tiempo, y con una guinda, como podría ser esta opción. Pero nunca, nunca el seguro debe ser nuestro único plan.
Por eso mismo TECNOideas ofrece entre sus servicios la opción de buscar un seguro que cubra todas vuestras necesidades según vuestra facturación anual. Y esa es otra, porque los ciberdelincuentes suelen pedir el rescate según la facturación anual de una empresa y por eso las compañías de seguros aplican el mismo criterio al valorar la prima a pagar por un ciberseguro.
Imagen principal: Mary Pahlke en Pixabay
Promoción en antivirus de última generación y cobertura de ciberriesgo, hasta el 9 de Julio
La profesionalidad de las empresas se mide por diferentes parámetros. Uno de los más reconocidos es el tema de los partners o colaboradores o socios. Como ya sabéis, no podemos dar todos los servicios nosotros mismos, y por eso vamos de la mano con varios partners. Son pocos y los escogemos con mimo. Uno de ellos es MGS Seguros, del que ya os hemos hablado e incluso explicado nuestra relación.
Así, por ejemplo, en noviembre de 2019 escribimos el post Desde hoy ofrecemos servicio de monitorización 24/7 y seguro de cobertura en Ciberseguridad: el mejor complemento para una auditoría de seguridad que podéis volver a leer AQUÍ. También publicamos una entrevista al Director Comercial Barcelona Corredores y Especialista de MGS Ciberseguridad, Albert Solé AQUÍ.
Uno de los buenos servicios de MGS Seguros es el tema del “antivirus”. Lo entrecomillamos porque no es exactamente eso, sino un agente instalable, sí, que monitoriza en tiempo real un ordenador (Windows, MacOs o Linux), y avisa de malware, de actividad sospechosa, con análisis predictivo e inteligencia artificial. Pongámosle la etiqueta de antivirus de última generación, y para que podáis investigar algo más, es la solución de Blackberry, Cylance. Todo ello con un equipo humano detrás que os ayudará tanto a instalar la solución, si os hace falta, o frente a cualquier problema en el uso o en una alerta.
El antivirus de última generación de MGS Seguros
utiliza la Inteligencia Artificial para monitorizar un ordenador,
en tiempo real, avisando de toda actividad sospechosa.
Y con un equipo humano detrás.
¿Ya está? ¿Tanto bombo para dos líneas? Pues no, aparte de esto, también puede escanear vuestra web, para presentar vulnerabilidades, mensualmente, y añade una cobertura de ciberriesgo básica, que se puede ampliar.
El pack básico de indemnización cubre:
• servicios legales
• obligación en protección de datos
• gastos de notificación, restitución de imagen, extorsión cibernética
• otros servicios extras
• ampliable con interrupción de las redes, que cubre pérdidas en la interrupción del sistema informático, o no abonan por un fallo de seguridad en un proveedor externo de servicios.

Como son muchos puntos, podéis DESCARGAR la presentación, donde se explica punto por punto, en que consiste el servicio, que puntos cubre el servicio básico y el servicio con la ampliación, y los extras, porque no lo hemos enumerado todo.
Es una solución perfecta para empresas de un tamaño menor a 100 puestos de trabajo, que no necesiten sistemas muy complicados de monitorización o gestión, pero si avisos tempranos, soluciones, apoyo humano y cobertura económica frente a estos riesgos si la solución no es suficiente.
Una oferta muy interesante, con facilidades de pago y dos meses gratis
Lo más importante, y que siempre nos preguntan, ¿el precio? pues como una solución profesional antivirus, con el pack extensión 10 equipos, 786 € al año.
Opción de pagos mensuales: cuota de 68.10 € al mes.
Y la promoción, que se aplicará a las altas entre el 28 de junio y el 9 de julio, consistirá en dos meses gratis, para que lo probéis con toda la tranquilidad que da, saber que funciona tan bien, que seguiréis con él.
- Publicado en Consultoría, General, Productos, Sobre TECNOideas
Cuando la vulnerabilidad dura y dura y dura…
Hace unos días supimos que Microsoft solucionó una vulnerabilidad del antivirus preinstalado en los ordenadores de Windows, el famoso Microsoft Defender. Pero lo que más sorprendió de la noticia es que el error estaba presente en el software ¡desde hace 12 años! Así que hemos decidido explicaros algunos otros casos, porque cuando la vulnerabilidad dura y dura y dura… vuestra empresa entra en una lotería de la que lleváis muchos números.
Otra cosa nos sorprendió de la noticia: por un lado que quienes lo detectaron no fueron los propios responsables de Microsoft, sino la compañía de ciberseguridad SentinelOne. Esta startup norteamericana fundada en 2013 y con sede en California, descubrió que la brecha permitía acceder a los privilegios de seguridad del sistema Windows reservados a los administradores.
Y os preguntaréis: ¿cómo es posible que no se haya detectado en tanto tiempo? Parece ser que el driver afectado es un componente que no se almacena en el disco duro. Dicho de otro modo, se utiliza y se elimina de forma inmediata. Pero claro, al afectar a un antivirus preinstalado en los ordenadores de Windows, se calcula que puede haber afectado a más de mil millones de dispositivos en todo el mundo. Por suerte SentinelOne cree que no hay evidencias de que el fallo haya sido aprovechado por ciberdelincuentes.

Windows Microsoft Defender
Microsoft ya lo solucionó hace unos días, con un parche y una actualización automática para todos los usuarios de Windows 10. Pero recordad que, tal y como os contamos AQUÍ, hace ahora un año, las versiones anteriores a Windows 10, como Windows 7 o Windows Server 2008 ya no tienen soporte de seguridad, por lo que la actualización automática no les va a llegar y seguirán con el problema, manteniendo la puerta abierta a posibles ataques.
Para los más técnicos que queráis averiguar un poco más del tema, deciros que se ha denominado a este problema CVE-2021-24092.
Cuando la vulnerabilidad dura y dura y dura…
Otros casos relevantes
Hay que tener muy en cuenta que las vulnerabilidades se reducen cuando están parcheadas. Sin embargo las empresas siempre tardan un poco más en solucionar los problemas, por lo que generalmente se sigue estando expuesto tras la localización de errores.
Lo podéis leer en este artículo de la revista IT Digital Security titulado “Vulnerabilidades antiguas y no críticas, campo abonado por el ransomware”. En él se dice, por ejemplo, que “si bien los costos de ransomware en 2017 se estimaron en 5.000 millones en total, las estimaciones han aumentado a 11.500 millones en 2019” o que “el 35% de las vulnerabilidades explotadas en los ataques de ransomware tienen más de 3 años”.
En este mismo sentido se expresa Silicon.es en un artículo titulado “Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android” donde se advierte que “a través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones”.
Hay muchos ejemplos de vulnerabilidades que perduran en el tiempo. Algunas son ya tan famosas que incluso tienen una importante entrada en Wikipedia. Es el caso del Cross-site scripting (secuencia de comandos en sitios cruzados) o XSS, un fallo típico de las aplicaciones web que implica al código JavaScript.
También es el caso de la inyección SQL, que consigue infiltrar un código intruso que permite realizar operaciones sobre una base de datos o el ataque de denegación de servicio o DoS (de las siglas en inglés Denial of Service). En este caso se trata de atacar un sistema de computadoras en red que impide a los usuarios legítimos acceder a los servicios. Eso que parece tan banal, llegó a afectar puntos clave del nodo central de Londres en 2013, como podéis leer en la entrada de la Wikipedia con la que os hemos enlazado.
De todo esto debemos sacer dos conclusiones muy claras:
1.- ¡Estamos expuestos! Continuamente. No tengáis dudas. Imaginaros hasta que punto si el mismísimo Microsoft ha tenido una vulnerabilidad durante 12 años. Así que “un poquito de por favor”. Mirad bien todos nuestros servicios y abrid el desplegable para tener claro en que os podemos ayudar y que LA CIBERSEGURIDAD NO ES UN GASTO, SINO UNA INVERSIÓN. ¡Y es muy asequible económicamente hablando! Contactadnos y lo veréis.
2.- La segunda conclusión a lo que llegamos es que no debéis de dejar nunca de actualizar vuestros equipos, sistemas, móviles, etc. Eso “que es tan pesado” y que siempre “dejamos para más tarde” porque “nunca nos viene bien” es imprescindible. Pensad que cerca del 90% de los contenidos de una actualización están ligados a mejorar la seguridad.
Así que… ¡no lo dudéis y hacedlo!
El riesgo cibernético por sectores: salud Parte I
Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de “ataques”, infecciones, timos y demás variantes.
Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.

Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.
Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.
¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.
Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un “delegado” de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…
¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.

Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.
Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.
Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.
¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.
Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:
- Ataque a Hospitales Rumanos para robar datos.
- ¿Porqué el sector médico? Artículo de Cybersecurity News
- Ataque a Prosegur con Ransomware también afectó a hospitales.
- Como varios ataques en Hospitales de EEUU causaron muertos.
- Implantes hackeables
- Marcapasos hackeables.
- Listado de casos que están siendo investigados en EEUU por Ciberataques en sector médico.
- Y cuando se empezó a ver esta epidemia, el ataque al servicio de salud Britanico.
Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y “aparatos” conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.
- Publicado en Consultoría, Noticias, Protección de datos, Seguridad
Como comprobar si un link o url es “malicios@”
Muchas veces nos recuerdan que no abramos links que nos llegan al correo si no los esperamos y además son de un desconocido. Que comprobemos la url, para ver si es “buena o es mala”.
¿Pero como se hace esto? Ya no hay que ser ingeniero para poder analizar una url, porque hay muchos sitios online donde poder hacerlo.

Uno de los más conocidos es VirusTotal. Aparte de analizar el contenido, puede enviar archivos dudosos para analizarlos con posterioridad.
Google también tiene su apartado para código malicioso, y si alguien ha denunciado una web, AQUÍ. Aunque en varias pruebas, lo que ha detectado VirusTotal, Google lo ha dejado pasar, siempre está bien tener más alternativas.
Y hay muchas más, como URLVoid, Site inspector Comodo, Dr.Web (aunque se usaba mucho antaño, ahora parece pertenecer a alguien en Rusia, así que usar con moderación).
Nunca hagas una prueba en un solo sitio, haz contra pruebas, para estar seguro.
Y recuerda que esto lo enseñamos en nuestras formaciones In-company para empresas, junto con detección de campañas de Phising, Vishing o Smishing.
- Publicado en Hazlo tu mismo
Revelación responsable, en inglés ‘Responsible disclosure’
Alguna vez nos ha preguntado algún amigo, cliente, o colaborador que hacemos si en nuestras pruebas de Pentesting diarias, descubrimos algún fallo de un tercero, que nos para quien trabajamos en ese momento.
Como no, hay una expresión para este tema, que es la que da el título a este post Revelación responsable, o en inglés ‘Responsible disclosure’.

Ya dice mucho de por si. Nosotros si descubrimos algún fallo, nos ponemos en contacto con quien lo sufre, y le damos toda la información posible.
¿Suele funcionar? Sencillamente no. A veces insistimos, alguna vez tenemos respuesta y nos derivan a otra persona, y luego a otra, como si el problema fuera nuestro.
Si es una empresa privada, son ellos los que tienen el problema, y no insistimos más. Si es una empresa pública, ya que somos todos y la dejadez la pagamos todos, pues lo denunciamos públicamente esperando que haya una causa-efecto.
Aún así, no suele haber mucho feedback, y es que aún pasan pocas desgracias, como por poner solo dos ejemplos, en Baltimore o New Orleans.
Podéis leer un artículo en Wikipedia AQUÍ sobre este tema, y como no, la controversia que genera.
- Publicado en Consultoría, Malos hábitos, Noticias