Amador Aparicio, ingeniero informático y docente: «hay que introducir la Seguridad Informática de manera transversal»
Ya sabéis que de vez en cuando nos gusta traer a este blog personajes que tienen una relevancia especial en nuestro sector. Hoy queremos acercarnos a Amador Aparicio, una persona muy reconocida en diversos ámbitos, porque además de ser ingeniero informático y tener un postgrado en Seguridad de las Tecnologías de la Información y Comunicación, ha querido siempre dedicarse a la enseñanza. En la actualidad es profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato (Palencia), profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Hoy os ofrecemos la primera parte de una entrevista que tendrá continuidad la próxima semana.
No es muy frecuente encontrar un perfil tan especializado y que escoja la docencia como actividad principal. ¿Por qué la docencia? ¿Es algo vocacional?
Bueno, es verdad, pero he de decir que desde el año 2016 llevo haciendo auditorías de seguridad de manera profesional, aunque bien es cierto que mi actividad profesional fundamental sigue siendo la docencia en Formación Profesional y en diferentes universidades españolas relacionadas con másteres de ciberseguridad.
En mi caso, la docencia es vocacional, es más, pienso que muchos de los que somos docentes y esa es nuestra principal actividad de ingresos, es porque en nuestra etapa estudiantil hemos tenido referentes en este sentido, en forma de profesores o incluso de amigos. Es cierto que cuando yo estudiaba prácticamente nadie se planteaba ser profesor. Lo habitual era terminar la carrera y automáticamente entrar en una empresa de desarrollador de software, pero no teníamos ni las referencias actuales de diversas salidas profesionales ni las alternativas tecnológicas actuales porque no había la misma tecnología y todo “estaba mucho menos conectado”. En mi caso, destacaría dos referentes, el Dr. Javier Pérez Turiel que me dio Redes de Computadores en 3º de Ingeniería Informática y mi mujer Cristina, que ya era profesora cuando la conocí y me animó a ello.
Hace tiempo que los estudios de informática están presentes y con fuerza en el sistema educativo español. Pero ¿en qué lugar se encuentra la formación en ciberseguridad?
Ahora hay más alternativas formativas que antes y, en materia de ciberseguridad, cada vez hay más opciones para poder cursar un máster, certificación, o incluso módulos específicos dentro de los ciclos formativos de Formación Profesional. Además, este curso, en diversas comunidades autónomas, las consejería de Educación han aprobado y lanzado el curso de Especialización en Ciberseguridad en el marco de la Formación Profesional. En algunos másteres oficiales, que no son puramente de Seguridad Informática, existen ya asignaturas de ciberseguridad para tener al menos un contacto y dar una visión muy genérica de esta disciplina.
Como veis, la formación en ciberseguridad va cobrando un peso específico, que el algunos casos puede ser transversalmente, pero que en otros es todo un eje vertebrador de estudios muy focalizados en ese área, sobre todo en relación con los másteres y las certificaciones.
En muchos campos se aboga por la especialización. En la ciberseguridad, ¿dónde estará la especialización? ¿Qué le recomiendas a tus alumnos, qué camino deben escoger?
Les pregunto dónde les gustaría estar de aquí a cinco años y les comento que hay conceptos que deben tener muy claros y conocer para poder dedicarse de manera profesional a la seguridad, en las rama que ellos escojan después. Les digo que tienen que saber de redes, direccionamiento IP (si no saben qué es una IP no podrán ni atacarse a sí mismos), enrutamiento, configurar una interfaz de red en cualquier sistema operativo, conocer protocolos a nivel de transporte, lo que es un puerto, un servicio… tienen que conocer algo de SQL, de sistemas operativos, programación en la parte de frontend y backend, administración de sistemas, y si tienen conocimientos de programación pues mejor que mejor. Al final, poner todo esto en común puede posibilitar ganarte la vida con la Seguridad Informática.
Les recomiendo también que se animen a escribir artículos relacionados con la Seguridad Informática para intentar que sean publicados en blogs con buena reputación, que investiguen qué congresos de seguridad existen, quiénes van y qué perfiles sociales tienen para que les empiecen a seguir y vean qué cosas investigan y publican, que se animen porque algún día puede que ellos se vean como ponentes en los principales congresos de Seguridad Informática, les digo que la Seguridad Informática no es una herramienta de botón gordo, que eso tiene las piernas muy cortas. Les digo que hagan lo que hagan o estudien lo que estudien, intenten pensar cómo introducir la Seguridad Informática de manera transversal, porque yo lo hago en mis clases y me obligo a investigar para podérselo explicar.
Les digo a qué congresos voy, qué es lo que hago para poder estar allí, o las cosas que me encuentro en una empresa cuando hago Auditorías de Seguridad.
Les animo a que no se autolimiten y que intenten estudiar todo lo que puedan, ya sea en forma de certificaciones profesionales, másteres, o ingeniería, que después es posible que tengan otro tipo de responsabilidades y ahora tienen un recurso muy valioso que es el tiempo y después van a dejar de tenerlo.
Pero sobre todo, les digo que para dedicarse a la Seguridad Informática, el único atajo que existe es leer, practicar y ser constante, esa es la clave. Y que tienen que tener algo diferente al resto de gente como ellos, que responda a la pregunta: ¿qué cosas has realizado que yo pueda ver?
Poco a poco se va reconociendo el trabajo de los Hackers. Por lo menos TECNOideas siempre lo ha reivindicado. Incluso el Diccionario de la RAE ha cambiado su definición, ajustándola a la realidad. ¿Te definirías como Hacker?
Bueno, me alegra ver que en la pregunta lo has escrito con la misma importancia que tienen los nombres propios, la primera letra en mayúscula… Ufff, el término Hacker es una carga muy pesada, y hay que estar a la altura de todo lo que engloba, implica, y el compromiso social que suscita, al menos en sus orígenes.
«Para dedicarse a la Seguridad Informática,
el único atajo que existe es leer, practicar y
ser constante, esa es la clave.»
Considero que una persona no se puede autodefinir como Hacker, es un reconocimiento que te tienes que ganar en función de tus investigaciones y aportes, y tiene que ser la comunidad quién te otorgue ese reconocimiento. Cuando escucho alguna vez que alguien se autodefine como Hacker pienso, con lo complicado que es y todo lo que implica, ¿será consciente de lo que está diciendo?
Tengo una anécdota, la RootedCON de 2019. Fue la primera vez que asistí a Rooted como ponente y recuerdo que allí, antes de empezar la ponencia, me saludaron entre otros Raúl Siles y Mónica Salas (ver la entrevista que les hicimos AQUÍ), José Picó y entre el público estaba Berta Sheila. Recuerdo muchas veces esta anécdota entre mis amigos. Para mí fue muy parecido a cuando un torero recibe la alternativa.
Además, otra cosa en la que siempre me he fijado y me causa mucho respeto, son las personas con las que he compartido cartel en las diferentes CONs. La mayoría de ellas han sido referencias y lo siguen siendo cuando empezaba en el mundo de Seguridad Informática. Recuerdo ir de espectador a RootedCON en 2012 y verlos a todos ellos como ponentes (por eso iba). Imagina lo que significa para mí, unos años más tarde, compartir cartel con buena parte de ellos. A día de hoy me sigue dando un gran respeto.
En tu haber también tienes un par de libros: Hacking web y Raspberry para Hackers. ¿Representan un paso más en tu área docente? ¿Puedes hablarnos de ellos?
Bueno, por lo menos representa un hito muy importante a nivel personal, y cada uno de ellos tienen una historia detrás. El primero, Hacking Web Technologies, fue muy especial. El 25 de marzo de 2015 estuve en Telefónica, en Gran Vía, como jurado de la final nacional del programa Talentum Startups. El jurado lo formábamos Antonio Guzmán, Raimundo Alcázar, Chema Alonso y yo. Recuerdo que al volver a casa, estaba en la estación de Chamartín y recibí un correo de Chema invitándome a participar en el proyecto de la elaboración del libro, imagínate. Los autores del libro fuimos Ricardo Martín, Pablo González, Chema Alonso, Enrique Rando y yo. Para mi fue una oportunidad para escribir sobre temas nuevos que no había tocado hasta el momento, como ZAProxy, inyecciones NoSQL sobre MongoDB, inyecciones de tipo XML y JSON, y algún tema que ya no recuerdo…. Han pasado más de 5 años. Lo que sí que recuerdo fue la sensación que tuve al poder participar en un proyecto como ese con todos esos referentes en el sector.
El segundo libro, Raspberry Pi para Hackers fue diferente, ya sabes, si haces o participas en la elaboración de uno, es más fácil poder participar en la elaboración de más libros, y así fue. Pasadas las navidades de 2017 Pablo González me comentó la idea y me gustó, poder elaborar un libro lo suficientemente práctico que fuese una guía a base de proyectos para que cualquiera con una Raspberry Pi pudiese practicar. Los tres autores somos de Palencia, Héctor Alonso, Pablo Abel Criado y yo, y buenos amigos. Es más, ellos han terminado trabajando en Telefónica en el entorno de ElevenPaths. Recuerdo que nos costó terminar la publicación del libro, pero que fue algo muy bonito que celebramos después.
Tener esas dos publicaciones reconozco que me ha abierto puertas, pero, sobre todo, cuando tú escribes algo, es un ejercicio muy bueno de síntesis que te ayuda a afianzar conceptos. Y, es más, me han pedido varias veces alguna firma y dedicación en diferentes congresos… y siempre llena de satisfacción (risas).
Esperamos que os haya gustado esta primera parte de la entrevista de Amador. Los que queráis empezar estudios de ciberseguridad ya tenéis unas cuantas pautas. ¡Aprovechadlas!
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Published in Entrevistas, Formació, General, Noticias, Seguridad
¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD
Las populares marcas del mundo informático no dejan de proponernos que guardemos nuestros archivos en sus servidores. Y poco a poco frases como «Guárdalo en la nube», «Súbelo a la nube», «Migra al iCloud» han pasado a formar parte de nuestro lenguaje habitual, casi en el mismo ámbito de «estar en el limbo». Y del uso particular al empresarial. Uno de los puntos fuertes de la digitalización de las empresas, en general, sean del sector que sean, es el tener una «nube». ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Aunque técnicamente nube o cloud, pueden ser muchas cosas, la gente lo asocia, casi mayoritariamente, a tener sus archivos subidos a un servidor, y puede que compartidos con el equipo o terceros, como gestores, asesores financieros, etc.
Es aquí donde empiezan los problemas de ciberseguridad y protección de datos. Pero hay que saber que no es solamente una cosa nuestra, sino que las plataformas son así, y hay leyes de por medio, que dictan donde y cómo debemos tener nuestros datos empresariales.
El problema aumenta con las diferentes alternativas de nube que hay en el mercado, porque son muchas. Las más conocidas: Google Drive, Microsoft OneDrive, Dropbox, etc. Pero lo que deberíamos preguntarnos antes de sucumbir a la presión de los sistemas informáticos de nuestros ordenadores es: ¿Están encriptadas? ¿Cumplen la RPGD/LOPD? ¿Son fáciles de usar? ¿Tienen medios para poder auditar rápidamente? Y así, muchas más preguntas.
Antes de continuar, os recordamos las siglas: RPGD es el Reglamento Europeo de Protección de Datos y LOPD es la Ley Orgánica de Protección de Datos.
Bien, ya nos hemos formulado esas preguntas y entonces averiguamos que las nubes comunes y de pago no cumplen todo esto. ¡Tenemos que buscar otro tipo de soluciones!
Desde TECNOideas os diremos que hay una muy reconocida, muy recomendada y que además es opensource, o sea de código abierto. El tener código abierto es muy ventajoso, porque significa que cualquier persona puede ver el código del software. Y eso nos lleva a que podemos buscar proveedores de pago o montarnos nuestra propia plataforma. Tomad nota: estamos hablando de Nextcloud. Y si alguno de vosotros, que no nos conoce mucho, puede llegar a pensar que tenemos un interés especial en Nextcloud, os lo sacaremos de la cabeza diciendo que hasta el CCN-Cert lo recomienda. Lo podéis leer en AQUEST enllaç.
Pero… ¿qué es Nextcloud?
Nextcloud, es una herramienta completa orientada a empresas y particulares, cuya función es actuar como un servidor de almacenamiento en la nube de fotos, datos, archivos… ¡y mucho más! Está desarrollado con el objetivo de ofrecer rentabilidad y productividad a empresas, aunque su uso es completamente útil para particulares. Por ello permite una gran personalización a través de la instalación de Apps o módulos, que permite ampliar funcionalidades más completas, según las necesidades.
Eso es lo que reza en su página web, y realmente es eso y mucho más. Comienza con los archivos en la nube, encriptados, para que nadie pueda verlos, por mucho que entre a la fuerza.
Tiene aplicación de escritorio, «como las mejores». Esto es algo que nos solicitan muchas empresas. Y también, la comunicación entre el escritorio y el servidor es encriptada. Pero por supuesto, puedes trabajar solo contra navegador.
Y además… muchas otras cosas: calendario, webmail de correo, mensajería instantánea, videoconferencia, y multitud de herramientas más, ya que al ser opensource, o sea, el código abierto a todo el mundo, se pueden realizar añadidos muy interesantes.
Nosotros por ejemplo, siempre usamos, e intentamos convencer (y casi «obligar») a nuestros clientes, a que usen un gestor de contraseñas, como Keepass o variantes. Pues efectivamente, hay una aplicación para poder integrar este software, y gestionar todas nuestras contraseñas en la suite de Nextcloud, porque ya es eso, una suite.
Los temas de control y auditoría, por ejemplo, son todo facilidades. Un log de actividad, tanto reciente como histórico, ver archivos compartidos y con quien, etc.
Ahora lo de siempre ¿es gratis? Es opensource, eso quiere decir que os lo podéis descargar, y a partir de ahí, depende de lo «manitas informático» que seáis. Si tenéis un mínimo de conocimientos, vosotros mismos podéis instalarlo, configurarlo, mantenerlo y hacerlo funcionar.
Pero si no es vuestro caso, tenéis varias opciones, como contratarlo a un proveedor externo, que hay unos pocos en Europa (tema RPGD) o, mucho más fácil, nos lo podéis pedir a nosotros. TECNOideas os contratará un VPS solo para vuestra empresa, os lo instalaremos y lo pondremos en marcha. ¡Fácil!
Este es un ejemplo más de los servicios añadidos que TECNOideas puede ofreceros. Porque lo mejor en este mundo es adaptarse a las necesidades reales de cada empresa. Y eso significa que podemos recomendaros soluciones concretas para cada necesidad. Por eso cuando os pregunten ¿Archivos en la nube? La respuesta debería ser siempre «Sí, pero de forma segura y cumpliendo la RPGD».
¡Contactadnos y solicitadnos un presupuesto!
Imagen principal: 200 Degrees en Pixabay
- Published in Consultoría, General, Noticias, Productos, Seguridad, software libre
Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo
Hace unas semanas, el concurso de licitación de un seguro de ciberriesgo de una administración pública de Cataluña, quedo desierto. Ninguna compañía aseguradora se atrevió a hacer una oferta para un seguro que debía cubrir la seguridad en las redes, la privacidad de datos y la responsabilidad civil derivada de la protección de datos. ¿Por qué?
Esta administración no contaba ni tan siquiera con el Esquema Nacional de Seguridad validado por el CCN Cert, así que cuesta poco saber si su nivel es como el que tenía el Sepe o similar. ¿Recordáis nuestro post a raíz de la problemática con la web del Sepe y el proyecto #websegura? Lo podéis leer de nuevo AQUÍ.
Así que la respuesta a la pregunta del por qué quedó desierta esa licitación empieza a estar clara y lo es más aún si añadimos otra pegunta: ¿Cómo una empresa de cobertura de riesgos los va a asumir si la propia entidad no pone suficientes esfuerzos en protegerse?
Algunas veces ya hemos comentado que un seguro es la guinda del pastel, pero no el pastel en sí mismo. Lo primero siempre debe ser una buena política de seguridad, que pasa por una serie de temas: auditoría, revisión de activos en posibles vulnerabilidades, endpoint / antivirus de última generación o monitorización activa de la red, políticas estrictas en materia de seguridad de la información y tecnologías de la información, hacer una mínima formación a todos los trabajadores, etc.
La seguridad en sistemas de gestión de la información no es infalible, de manera que lo que hoy es seguro, mañana puede no serlo porque puede descubrirse una vulnerabilidad. Y con el caso que hacen la mayoría de las empresas proveedoras, son los malos los primeros en aprovechar la más mínima vulnerabilidad. Así que ese 100% nunca esta cubierto, hemos de ser muy conscientes de esto. Pero una buena política de seguridad, en la que se incluyen todos los puntos mencionados anteriormente es absolutamente necesaria para minimizar el riesgo. Si logramos cubrir, por ejemplo un 95%, al añadir un seguro de ciberriesgo, dormiremos mucho más tranquilos. Pero nunca podemos esperar que el seguro, por sí solo, nos vaya a solucionar la vida.
TECNOideas facilita también seguros de ciberriesgo, como complemento a todos los demás servicios que ofrecemos, como auditorías, CISO externo, consultoría, planes anuales, etc. Pero siempre informamos y les hacemos ver a nuestros clientes, o posibles clientes, que no pueden dejarlo todo en manos de un seguro, ya que si no hay acciones preventivas y de mantenimiento, la aseguradora, tras la investigación por un perito, se negará a pagar.
Además hay que tener claro que no todas las empresas necesitan el mismo tipo de seguro, por lo que hay que huir de los seguros convencionales que se ofrecen. Lo suyo es ver la situación de la empresa, las medidas de ciberseguridad que ha adoptado y entonces y solo entonces, buscar el tipo de seguro más adecuado a sus necesidades. Un servicio que difícilmente pueden ofrecer las compañías aseguradoras, porque deben ser los técnicos de ciberseguridad que prestan sus servicios a las empresas, los que actualizan los sistemas, conocen, analizan y proponen soluciones, los que van a saber exactamente el tipo de seguro que necesitan para poner la guinda al pastel.
Imagen principal: Steve Buissinne enPixabay
- Published in General, Noticias, Protección de datos, Seguridad
Suben un 888% los ataques de malware sin fichero en 2020
Preocupa y mucho el espectacular aumento de los ataques de malware sin fichero, porque son capaces de infectar y causar daño sin dejar rastro. Este dato aparece en el «Informe de Seguridad en Internet» del cuarto trimestre de 2020 de la empresa WatchGuard. En cambio se reducen los ataques de ransonware.
El malware sin fichero también se conoce con el nombre de fileless malware y el motivo por el cual es capaz de infectar sin dejar rastro es que no graba ficheros en el disco duro y su maliciosa acción la realiza en la memoria. Eso significa que si bien cuando se reinicie el sistema ya no existirá el virus, el daño ya surgirá efecto. Incluso pone en graves dificultades a los sistemas de análisis forenses.
Un informe muy completo
La investigación que ha efectuado la empresa estadounidense de ciberseguridad WatchGuard Technologies, Inc. cuya sede central está en Seattle (Washington), es muy extenso y aporta otros muchos datos interesantes. Destacamos los siguientes:
• Se reduce el volumen de ataques de ransomware por segundo año consecutivo. Se cree que este descenso continuado se debe a que los ciberdelincuentes están abandonado las campañas generalizadas y se centran en ataques dirigidos contra organizaciones sanitarias y empresas que no pueden permitirse estar un tiempo inactivas.
• Atención a los criptómeros. Con la vuelta a la tendencia alcista de las criptomonedas en el cuarto trimestre de 2020, se ha reavivado también el número de malwares criptomineros, llegando a ser de más del 25% respecto a los niveles del año anterior.
• Los ataques de malware cifrado y evasivo a través de conexiones HTTPS aumentó un 41% y el malware zero-day cifrado creció un 22% respecto al tercer trimestre de 2020.
• El malware en las redes de bots dirigido a dispositivos IoT y routers se convierte en una cepa principal.
• La brecha de SolarWinds ilustra los peligros de los ataques a la cadena de suministro.
• Un nuevo troyano engaña a los escáneres de correo electrónico con un enfoque de carga múltiple.
• El volumen de ataques de red se acerca al máximo de 2018.
• El informe también incluye un análisis detallado del ataque a la cadena de suministro de SolarWinds.
Podéis leer el «Informe de Seguridad en Internet del cuarto trimestre de 2020» completo AQUÍ.
No queremos acabar este artículo sin volver a hablar del malware sin fichero, para que no os quedéis con la idea de que no se puede combatir, porque eso no es así.
¿Cómo podemos evitarlo? Hay que monitorizar el sistema en busca de un comportamiento malicioso que alerte de cosas sospechosas. Para ello hay que confiar en empresas especializadas en ciberseguridad como TECNOideas 2.0, porque la mejor defensa es la combinación de una protección de última generación
y tecnologías de detección y remediación.
Confiad en TECNOideas, solicitad un presupuesto.
- Published in Ataques / Incidencias, General, Noticias, Seguridad
Pinakes, nuevo servicio de la banca para gestionar los riesgos de ciberseguridad
Compartir información sobre el nivel de ciberseguridad de los servicios que los proveedores mantienen con el sector financiero y bancario español es el principal objetivo de esta nueva plataforma creada por el Centro de Cooperación Interbancaria (CCI).
Estamos ante un interesante servicio cooperativo que se ha presentado como un modelo pionero y único en Europa. Pretende reforzar la ciberseguridad de toda la cadena de suministro del sistema financiero. Pinakes cumple también la normativa que exigen los reguladores, especialmente la Autoridad Bancaria Europea (EBA). Las ventajas son muchas, ya que hay un ahorro de costes, de tiempo y de personal. Al ser cooperativo, la plataforma está al servicio de toda la banca, más concretamente, de 124 entidades asociadas al Centro de Cooperación Interbancaria.
ha creado la plataforma Pinakes.
La necesidad de Pinakes queda claro si pensamos la cantidad de servicios y proveedores externos que utiliza la banca para gestionar, mantener y guardar una cantidad ingente de información.
El sistema se basa en que un conjunto de empresas auditoras evalúan el nivel de ciberseguridad de los diferentes servicios que se ofrecen a las entidades. Fruto de esta evaluación, que llega a medir hasta 76 factores, se califica el grado de seguridad. Es algo parecido a los sistemas de calificación financiera que usan las agencias que se ocupan de calificar el riesgo bancario.
El desarrollo de la plataforma comenzó en 2019. Han intervenido 14 de las principales entidades bancarias españolas que han contado con LEET Security para la realización de las evaluaciones de seguridad.
Leet Security es una entidad privada e independiente que se creó para calificar la seguridad de servicios TIC. El Incibe lo describe como un sello que certifica una calificación enfocado a los servicios de Cloud Computing. Lo podéis ver AQUÍ.
El nombre escogido, Pinakes, ha provocado recelos en el sector del libro. El nombre deriva del griego y hace referencia a uno de los primeros catálogos de libros existentes. Se ha empleado en este sector con cierta frecuencia. Existe una empresa mexicana de software que ha creado un producto con este nombre. Ofrece un sistema de automatización de bibliotecas y centros de información documental llamado Pinakes Library.
Tenéis toda la información sobre Pinakes AQUÍ.
¡TECNOideas puede ser vuestro CISO! Una nueva ley obliga a algunas empresas a tener un responsable de ciberseguridad
El Real Decreto 43/2021 de 26 de enero hace referencia a la seguridad de las redes y sistemas de información de diversos sectores estratégicos. Obliga a las empresas implicadas a tener un responsable de la seguridad de la información (CISO) en menos de tres meses. La buena noticia es que esta figura puede ser externa. ¡TECNOideas puede ser vuestro CISO!
Imagen de Gerd Altmann en Pixabay.
Tanto la Unión Europea como el Gobierno de España están decididas a que los delitos cibernéticos no sean un continuo dolor de cabeza para las empresas. Tras la puesta en marcha del Esquema Nacional de Seguridad (ENS) se acaba de publicar ahora en el BOE el nuevo Real Decreto 43/2021 de 26 de enero por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Lo podéis leer AQUÍ.
La ley afecta a las empresas que trabajen en el marco de los servicios esenciales dependientes de diversos sectores estratégicos y a los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube. La ley también especifica que las empresas afectadas deben facilitar los medios y poner todo el empeño para que el responsable de ciberseguridad pueda realizar adecuadamente sus tareas, que a nivel general son:
- Anàlisi i gestió de riscos.
- Gestió de riscos de tercers o proveïdors.
- Catàleg de mesures de seguretat, organitzatives, tecnològiques i físiques.
- Gestió del personal i professionalitat.
- Adquisició de productes o serveis de seguretat.
- Detecció i gestió d'accidents.
- Plans de recuperació i assegurament de la continuïtat de les operacions.
- Millora contínua.
- Interconnexió de sistemes.
- Registre de l'activitat dels usuaris.
Las ventajas de externalizar este servicio
Las empresas que no sean grandes o que no puedan disponer en plantilla de un responsable de ciberseguridad, pueden contratar externamente este servicio.
Esta opción tiene muchas ventajas para las empresas, por la diferencia entre el coste del servicio y el sueldo que puede tener un CISO profesional. También permite que las empresas se centren en su actividad profesional sin tener que preocuparse de todos estos temas, ya que las funciones del CISO van a ser importantes y laboriosas:
a) Elaborar y proponer las políticas de seguridad para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes.
b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización y llevar a cabo controles periódicos de seguridad.
c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.
d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.
f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
¡TECNOideas puede ser vuestro CISO!
Estamos cualificados para cumplir
todos los requisitos que marca la ley.
Contactadnos ahora
y comprobad todo lo que podemos hacer
para que vuestra empresa cumpla la ley
sin mayores problemas.
- Published in General, Noticias, Seguridad, Sobre TECNOideas
YubiKey u otra key de autenticación con 2FA
A veces somos un poco pesados con las medidas de seguridad que tomamos nosotros y que transmitimos a nuestros clientes. Por supuesto que también son recomendaciones que hacemos llegar al público en general. Hoy queremos hablaros de una que creemos sinceramente muy necesaria, como es el doble factor de autenticación. Así que si sois de los que creéis que todo esto solo resta productividad porque son un poco más enrevesadas, leed con atención este artículo en el que os descubrimos Yubikey u otra key de autenticación con 2FA.
A pesar de nuestra insistencia, en nuestro quehacer diario, cuando visitamos clientes por vez primera o cuando hablamos con responsables de informática de muchas empresas, vemos que medidas esenciales como las que pasamos a enumerar a continuación siguen brillando por su ausencia.
¿Cuáles de estas medidas empleáis vosotros?
• No guardar las contraseñas en un navegador.
¡Qué fácil resulta que el navegador trabaje por nosotros!, ¿verdad?
• Esa práctica tan extendida como nociva de guardar todas las contraseñas en un archivo Excel.
• Usar un gestor de contraseñas.
• Bloquear el PC cuando uno se levanta, ¡aunque sea un minuto!
• Comprobar las URLs o archivos adjuntos que llegan por nuestro correo electrónico.
• Usar siempre que sea posible el doble factor de autenticación (2FA).
que tomamos cada uno de nosotros.
Imagen de Werner Moser en Pixabay
Bien, seguro que muchos de vosotros nos diréis que todo eso está superado, que ya habéis superado este curso. Vale, pero aun así, hoy os queremos hablar especialmente del doble factor de autenticación. Y es que ya es corriente que casi todos los buenos servicios cuenten con esta opción, para que el servicio se ponga automáticamente contigo a través del servicio que tu elijas, o que te deje hacer login con o además de un hardware.
Vamos a hablaros de Yubikey u otra key de autenticación con 2FA, porque la esencia de este artículo es hablar de llaves de hardware, con NFC (Near Field Communication) o tecnología inalámbrica de corto alcance o USB. Hemos probado ya tres marcas diferentes, pero sin duda las YubiKey son las que nos parecen más adecuadas. YubiKey es un dispositivo creado por la empresa estadounidense Yubico para proteger ordenadores, redes y servicios online. Suelen ser fáciles de configurar, y casi todas han funcionado bien, siempre, en todos los sistemas que hemos probado: Windows, MacOs, Linux y Android.
ha creado la llave YubiKey.
¿Qué servicios nos han aceptado el 2FA? De momento Twitter, Gmail, WordPress, GitHub y Cloudamo (un proveedor de Nextcloud), al igual que el escalado de privilegios con super usuario (sudo) en Linux.
¿Como funciona? Fácil y sencillo, primero configuramos nuestra llave en nuestro sistema, o sistemas, con su respectiva guía, y luego cada servicio es un mundo, claro, pero en las opciones de nuestra cuenta podemos activar el 2FA. Al activarlo, nos pedirá validar como lo haremos, casi siempre es software, pero como os comento, estos que hemos probado dejan por hardware. Introducimos nuestra llave, la validamos, y… ¡voilà!
Podéis seguir más detenidamente cada paso a través del soporte online de Yubico AQUÍ.
A partir de entonces, cada vez que entremos en uno de estos servicios, y después de hacer login normalmente, nos pedirá que insertemos la llave, y toquemos el botón de actuación.
Os dejamos AQUÍ el comparador de productos de Yubikey, que es la marca «más compatible» con los servicios. Y esperamos que los servicios que no se han sumado al carro del 2FA.
Hay otros tipos de hardware, como receptores de tokens únicos, y también de soluciones por software como la de Google.
Como siempre comentamos, hay para todos los gustos, así que os toca probar y ver cual es la que más os gusta, a vosotros, o a vuestra empresa, o la que os resulte más práctica, pero eso sí, ¡siempre dentro de la seguridad!
- Published in Consultoría, General, Hazlo tu mismo, Seguridad
Cuando la vulnerabilidad dura y dura y dura…
Hace unos días supimos que Microsoft solucionó una vulnerabilidad del antivirus preinstalado en los ordenadores de Windows, el famoso Microsoft Defender. Pero lo que más sorprendió de la noticia es que el error estaba presente en el software ¡desde hace 12 años! Así que hemos decidido explicaros algunos otros casos, porque cuando la vulnerabilidad dura y dura y dura… vuestra empresa entra en una lotería de la que lleváis muchos números.
Otra cosa nos sorprendió de la noticia: por un lado que quienes lo detectaron no fueron los propios responsables de Microsoft, sino la compañía de ciberseguridad SentinelOne. Esta startup norteamericana fundada en 2013 y con sede en California, descubrió que la brecha permitía acceder a los privilegios de seguridad del sistema Windows reservados a los administradores.
Y os preguntaréis: ¿cómo es posible que no se haya detectado en tanto tiempo? Parece ser que el driver afectado es un componente que no se almacena en el disco duro. Dicho de otro modo, se utiliza y se elimina de forma inmediata. Pero claro, al afectar a un antivirus preinstalado en los ordenadores de Windows, se calcula que puede haber afectado a más de mil millones de dispositivos en todo el mundo. Por suerte SentinelOne cree que no hay evidencias de que el fallo haya sido aprovechado por ciberdelincuentes.
Windows Microsoft Defender
Microsoft ya lo solucionó hace unos días, con un parche y una actualización automática para todos los usuarios de Windows 10. Pero recordad que, tal y como os contamos AQUÍ, hace ahora un año, las versiones anteriores a Windows 10, como Windows 7 o Windows Server 2008 ya no tienen soporte de seguridad, por lo que la actualización automática no les va a llegar y seguirán con el problema, manteniendo la puerta abierta a posibles ataques.
Para los más técnicos que queráis averiguar un poco más del tema, deciros que se ha denominado a este problema CVE-2021-24092.
Cuando la vulnerabilidad dura y dura y dura…
Otros casos relevantes
Hay que tener muy en cuenta que las vulnerabilidades se reducen cuando están parcheadas. Sin embargo las empresas siempre tardan un poco más en solucionar los problemas, por lo que generalmente se sigue estando expuesto tras la localización de errores.
Lo podéis leer en este artículo de la revista IT Digital Security titulado «Vulnerabilidades antiguas y no críticas, campo abonado por el ransomware». En él se dice, por ejemplo, que «si bien los costos de ransomware en 2017 se estimaron en 5.000 millones en total, las estimaciones han aumentado a 11.500 millones en 2019» o que «el 35% de las vulnerabilidades explotadas en los ataques de ransomware tienen más de 3 años».
En este mismo sentido se expresa Silicon.es en un artículo titulado «Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android» donde se advierte que «a través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones».
Hay muchos ejemplos de vulnerabilidades que perduran en el tiempo. Algunas son ya tan famosas que incluso tienen una importante entrada en Wikipedia. Es el caso del Cross-site scripting (secuencia de comandos en sitios cruzados) o XSS, un fallo típico de las aplicaciones web que implica al código JavaScript.
También es el caso de la inyección SQL, que consigue infiltrar un código intruso que permite realizar operaciones sobre una base de datos o el ataque de denegación de servicio o DoS (de las siglas en inglés Denial of Service). En este caso se trata de atacar un sistema de computadoras en red que impide a los usuarios legítimos acceder a los servicios. Eso que parece tan banal, llegó a afectar puntos clave del nodo central de Londres en 2013, como podéis leer en la entrada de la Wikipedia con la que os hemos enlazado.
De todo esto debemos sacer dos conclusiones muy claras:
1.- ¡Estamos expuestos! Continuamente. No tengáis dudas. Imaginaros hasta que punto si el mismísimo Microsoft ha tenido una vulnerabilidad durante 12 años. Así que «un poquito de por favor». Mirad bien todos nuestros servicios y abrid el desplegable para tener claro en que os podemos ayudar y que LA CIBERSEGURIDAD NO ES UN GASTO, SINO UNA INVERSIÓN. ¡Y es muy asequible económicamente hablando! Contactadnos y lo veréis.
2.- La segunda conclusión a lo que llegamos es que no debéis de dejar nunca de actualizar vuestros equipos, sistemas, móviles, etc. Eso «que es tan pesado» y que siempre «dejamos para más tarde» porque «nunca nos viene bien» es imprescindible. Pensad que cerca del 90% de los contenidos de una actualización están ligados a mejorar la seguridad.
Así que… ¡no lo dudéis y hacedlo!
Google elige tomar el sol
El gigante americano acaba de confirmar que instalará en Málaga un centro de excelencia para la ciberseguridad de más de 2.500 m2. Con una inversión de 530 millones de euros en cinco años y el objetivo de ayudar a la transformación digital de España, la noticia tiene su precedente en la compra de VirusTotal en 2012.
El nuevo centro ocupará las instalaciones del antiguo edificio del gobierno militar, en el paseo de la Farola. Es decir entre el puerto y el Paseo Marítimo y a un paso de la célebre playa de la Malagueta. Como es lógico cuando una empresa de este calibre toma una decisión, no ha sido fruto del azar, sino de un trabajo bien hecho que se está realizando en Málaga desde hace tiempo. Tiene que ver en ello el Parque Tecnológico de Andalucía o Málaga TechPark y muy especialmente del sitio web VirusTotal, creado por la empresa malagueña Hispasec Sistemas. Y es que en 2012 Google compró VirusTotal, iniciando así un romance que perdura en el tiempo y se agranda ahora con este centro de excelencia para la ciberseguridad.
el Málaga TechPark.
Un poco de historia...
El Parque Tecnológico de Andalucía (PTA) es un lugar de alta calidad para la instalación de pymes y grandes empresas ubicado en Campanillas, a las afueras de Málaga. Fue creado en 1990 y se inauguró en 1992, con 8 empresas y 130 trabajadores. Dos años más tarde, la Universidad de Málaga se instaló en el parque y un año después fue la Asociación Internacional de Parques Tecnológicos y Áreas de Innovación la que ubicó aquí su sede mundial.
En 2007 Unicaja se convierte en accionista del PTA y poco después es la Universidad de Málaga la que se incorpora al consejo de administración de la entidad. Eso posibilitó que en el 2015 abriera sus puertas el edificio The Green Ray como respuesta a la necesidad de transferir conocimientos del mundo universitario a la empresa y de dar apoyo a los emprendedores.
Hoy más de 600 empresas y unos 20.000 trabajadores forman parte del Málaga TechPark.
…y un caso de éxito
Aunque no está estrechamente vinculado, en paralelo al desarrollo de este gran centro tecnológico, una empresa malagueña, Hispasec Sistemes, creó en 2004 la plataforma VirusTotal, pensada para proporcionar de forma gratuita el análisis de archivos y páginas web a través de antivirus.
Os explicamos algo de ello en nuestro blog y lo podéis leer AQUÍ.
El éxito fue inmediato y pasó a liderar rápidamente el sector gracias al ingeniero Bernardo Quintero, gran experto en ciberseguridad. Cuando Google lo contactó para comprarle su empresa, él solo puso la condición de que se quedara en Málaga, que por algo es la capital de la Costa del Sol y su calidad de vida es de lo mejorcito. Podéis saber toda su historia gracias a este magnífico reportaje de Xataca publicado en 2018.
En ese año VirusTotal pasó a formar parte de Chronicle, una compañía del conglomerado empresarial que cobija todas las empresas de Google bajo el nombre de Alphabet.
Gracias al acuerdo con Google, VirusTotal cuenta hoy con la mayor base de datos de ciberseguridad a nivel mundial y analiza más de dos millones de archivos y URLs cada día. Entre sus clientes se encuentran Facebook, Samsung, Apple o Netflix. Pero lo más importante es que mantiene una estrecha colaboración con la Universidad de Málaga y, por supuesto, se va a instalar en el centro de excelencia para la ciberseguridad.
Otra persona importante para este hub tecnológico de Málaga es Sergio de los Santos, que fue compañero de Bernardo Quintero en Hispasec y que fue fichado por Telefónica. También él puso como condición quedarse en Málaga y hoy es el máximo responsable de Innovación y Laboratorio de ElevenPaths, empresa que conforma el equipo de ciberseguridad de Telefónica Tech.
Consulta siempre Virus Total.
Os hemos querido contar todo esto para que todos seamos conscientes que no es necesario «el sueño americano» ni ir a California para conseguir cosas importantes en el mundo tecnológico. Gracias a la visión y tozudez de Bernardo Quintero apostando fuerte por su ciudad, Málaga está en el mapa mundial de la ciberseguridad. Google ha glosado el ecosistema de startups que llevan cultivando el tejido tecnológico en la Costa del Sol desde hace años.
Además, con esta operación, España saldrá muy reforzada, ya que la empresa americana va a contribuir a los objetivos de la Agenda Digital 2025 del Gobierno.
Google también trabajará con Telefónica para impulsar un cable submarino privado que debe conectar España con el Reino Unido y Estados Unidos.
Ciertamente Google elige tomar el sol, porque el astro rey es importante para la creatividad y el clima de la Costa del Sol no tiene nada que envidiar al de California. Pero no os equivoquéis: hay un enorme trabajo detrás de todo ello: constancia, creatividad, trabajo, trabajo, trabajo…
El centro de ciberseguridad de Google ofrecerá formación, charlas y talleres, investigación y desarrollo de producto y se espera que esté en funcionamiento en 2023.
Desmantelado Emotet, el enemigo público número uno
Emotet estaba considerado el virus más peligroso del mundo. Activo desde 2014, capaz de secuestrar equipos y solicitar un pago a sus víctimas y con un alcance global, se había convertido en un verdadero dolor de cabeza para miles de empresas. En Estados Unidos se estimaba que cada acción de este troyano generaba en las empresas afectadas más de un millón de dólares para resolver la incidencia causada. Por supuesto, también ha campado a sus anchas por España. Pero ahora, finalmente, ha sido desmantelado Emotet, el enemigo público número uno.
Sin ir más lejos, este «malware» fue el más empleado por los cibercriminales durante el pasado mes de diciembre para robar datos a las empresas. Se calcula que afectó a un 15% de las compañías españolas, como podéis comprobar en ESTE INFORME del 7 de enero de Check Point Software Technologies, un proveedor global de soluciones de seguridad informática. En su blog también encontraréis un ranking de las principales familias de malware que esta empresa realiza periódicamente. En diciembre Emotet volvía a estar en el número uno de peligrosidad.
Y decimos «malware» entre comillas, porque emotet, tal como explicamos en un artículo anterior AQUÍ, es un contenedor, que puede aceptar diferentes módulos o «plugins», para realizar acciones concretas, por zonas, por sistemas, etc…
Una acción global de la policía
Aquí arriba tenéis una interesante infografía de Europol, la Unión Europea para la Cooperación Policial, donde se explica claramente el peligro de Emotet. Tan malicioso era este malware que se ha necesitado una intervención internacional a gran escala para su desmantelamiento. En ella han participado Alemania, Estados Unidos, Países Bajos, Reino Unido, Francia, Lituania, Canadá y Ucrania, bien coordinados por Europol y Eurojust, la agencia de la Unión Europea para la Cooperación Judicial Penal. Las autoridades policiales y judiciales han conseguido tomar el control de su infraestructura y desmantelarlo, poniendo así fin a la red de bots de Emotet.
Una larga historia delictiva
Sin lugar a dudas Emotet ha sido uno de los peligros más complicados de desactivar y más duraderos. En 2014 saltó al primer plano de la ciberseguridad como un troyano bancario. Pero la cosa fue mucho más allá, ya que actuaba como la llave de una cerradura, capaz de abrir las puertas de sistemas informáticos de todo el mundo. Y una vez conseguido esto, la llave se vendía a ciberdelincuentes de alto nivel que desplegaban actividades como robo de datos y extorsión. Mediante un sistema totalmente automatizado, Emotet se difundía a través de documentos de Word adjuntos a un correo electrónico. Por ejemplo, en España, durante la pandemia, se presentaba como facturas, avisos de envío e información sobre la Covid 19.
Pero… ¡estabais advertidos!
Si sois fieles seguidores de este blog, seguramente todo esto os suene ya un poco, porque nos hemos ocupado en varias ocasiones de Emotet. Por ejemplo, en febrero de 2020, cuando os contamos que en la conferencia de la asociación Hackplayers H-Con estuvimos en una conferencia de Markel Picado titulada «Comunicándome con el enemigo: Emotet tracking». Podéis leer el post AQUÍ.
Incluso tuvimos que glosar la virguería de programación que significaba Emotet. ¡Qué lástima que la gente que es capaz de realizar una programación tan complicada que incluso afectaba a varios cientos de miles de servidores de todo el mundo y con capacidad de propagarse en forma de red descentralizada, usen su sapiencia para el lado oscuro!
Pero donde realmente os contábamos muchas más cosas sobre Emotet, el enemigo público número uno, fue en el artículo publicado el 10 de agosto de 2020 con el título «Contramedidas para Emotet: sustituyen malware por Gif’s». Incluso os enlazamos con un artículo del Incibe donde se explicaba como limpiar vuestro equipo de este virus.
Bueno, empezamos el año con una muy buena noticia para la ciberseguridad mundial. Y como veis, TECNOideas está a la altura, comme d’habitude. Nos encanta que nos sigáis y os recordamos que ahora tenéis la opción «Deja una respuesta» al final de cada uno de los artículos de este blog. ¡Animaros y dejad vuestras opiniones!
- Published in General, Noticias, Seguridad, Sobre TECNOideas
Català 
Español