La verificación en dos pasos ya tiene un malware

La verificación en dos pasos ya tiene un malware

Mucho se ha hablado de la necesidad de tener una verificación en dos pasos (2FA), por ser un plus de seguridad. Y de hecho lo es, hasta el punto que en las aplicaciones bancarias y otras de tipo financiero es obligatoria.
La mala noticia es que ya se ha creado un malware que simula una app de verificación en dos pasos que intenta estafar a los usuarios de servicios bancarios.

El hecho de que las entidades bancarias y financieras lo usen para infinidad de transacciones ha despertado el interés de los ciberdelincuentes que han olido el dinerito calentito que podían ganar. Se pusieron manos a la obra y desarrollaron una apliacación de phishing que simula una app de verificación de dos pasos. Para sus fechorías eligieron la interfaz del BBVA y así tratar de robar el dinero de los usuarios de este banco.

¿Cómo lo hacen?

Como en muchos actos de ciberdelincuencia, todo empieza con una réplica de la web oficial de una entidad. En este caso, de la web del BBVA. Y a partir de ahí se sigue esta sucesión de acciones:

• Réplica de la web del BBVA.
• Aviso a los usuarios de la existencia de una nueva aplicación de verificación que va a ser obligatoria en un futuro inmediato para cualquier gestión de la cuenta.
• Muchos usuarios se descargan la aplicación.
• La falsa aplicación posibilita que un malware (concretamente un troyano, de nombre Revive), infecte el dispositivo del cliente.
• Este troyano tiene la particularidad que captura todo lo que se escribe en el dispositivo en cuestión (keylogger).
• El malware pide al cliente que acepte dos permisos relacionados con los SMS y las llamadas telefónicas.
• Aparece una página que suplanta a la del BBVA y pide al cliente que introduzca los credenciales de acceso. Con ello quedan en poder de los ciberciminales, que podían transferir dinero de la cuenta de las víctimas hacia las suyas.

La verificación en dos pasos ya tiene un malware

El descubrimiento de este troyano se lo debemos a los investigadores de la empresa italiana Cleafy, dedicada a la prevención del fraude online. Lo explican detalladamente en este artículo publicado en su web.

También podéis leer el artículo que el INCIBE ha publicado para alertar a los usuarios sobre este troyano bancario AQUÍ.

Un remedio muy asequible

La moraleja es muy clara: a pesar del doble factor de autenticación, nunca podemos estar seguros de nada. Y ante la duda, antes de clicar, molestaros en preguntar.
Hay que actuar con sentido común y no fiarse de nada de lo que recibimos. Pero también hay que proteger los dispositivos y eso no es tan complicado. Con poner una VPN suele bastar.
¿Qué es una VPN o red privada virtual? Seguro que habéis oído hablar de ella. Esta red lo que hace es redirigir el tráfico de un dispositivo hacia un túnel seguro; oculta la dirección IP y encripta los datos. En consecuencia protege frente a los timos como el que describimos.

Con este post os queremos advertir: la verificación en dos pasos ya tiene un malware. Así que agudizad las precauciones cuando os llegue un mensaje de vuestra entidad bancaria.

Imagen principal: mohamed Hassan en Pixabay

Read more
No Comments

Aumento de litigios por problemas en la protección de datos y ciberseguridad

Aumento de litigios por problemas en la protección de datos y ciberseguridad

Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?

¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.

No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.

Aumento de litigios por problemas en la protección de datos y ciberseguridad.

Quin és el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.

Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.

CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.

CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.

Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.

2. f. Falta de aplicación.

Conocer la legalidad

Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.

En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.

En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.

Aumento de litigios por problemas en la protección de datos y ciberseguridad.Tecnogados es un bufete especializado en Derecho Tecnológico.

De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.

Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.

En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.

¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.

Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.

Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.

Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.

Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.

Imagen principal: Pete Linforth en Pixabay

Read more
1 Comment

Día Internacional de la Mujer: situación del sector de la ciberseguridad

Día Internacional de la Mujer: situación del sector de la ciberseguridad

En el año 1975, la Organización de las Naciones Unidas proclamó el 8 de marzo como el Día Internacional de la Mujer. Fue el reconocimiento oficial a una lucha de más de cien años durante los cuales se han reivindicado los derechos básicos para las mujeres de todo el mundo. Hoy hemos querido ver como anda el ámbito tecnológico en general y el de la ciberseguridad en particular en cuanto a igualdad y empleabilidad.

Realmente el tema tecnológico debería ser uno en el que menos hubiera discriminación salarial o techos de cristal. Pero algunas cifras nos demuestran que no es así. Según el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, (ISC) 2, la presencia de mujeres en el sector de la ciberseguridad a nivel mundial es de tan solo un 24%. Lo podéis leer AQUÍ.
Hay varios estudios que ponen de manifiesto esto, como el 2017 Global Information Security Workforce Study: Women in Cybersecurity que firman varias instituciones.

Día Internacional de la Mujer: situación del sector de la ciberseguridad. Portada del informe "2017 Global Information Security Workforce Study"
Portada del informe
“2017 Global Information Security Workforce Study”.

Pero en lo que todo el mundo parece estar de acuerdo es en que la ciberseguridad necesita mujeres. Según Winifred R. Poster, profesora de asuntos internacionales en la Universidad de Washington, St. Louis, Missouri, las mujeres representan solo el 11% de los profesionales de la ciberseguridad en todo el mundo y solo el 14% en América del Norte. Además recuerda que el cibercrimen exacerba las desigualdades, ya que un millón más de mujeres estadounidenses que de hombres sufrieron robo de identidad en 2014. Tanto es así que asegura que “el futuro de la ciberseguridad depende de su capacidad para atraer, retener y promover a las mujeres, que representan un recurso altamente calificado y poco explotado. La disciplina también necesita aprender sobre las experiencias de las mujeres como víctimas del delito cibernético y los pasos necesarios para abordar el desequilibrio del daño.(Revista Nature, mayo 2018.)

Sin embargo, históricamente ha habido grandes mujeres trabajando en ciberseguridad. En el mismo artículo de Nature se cuenta algunos de los casos más interesantes, como las codificadoras de mensajes cifrados de la II Guerra Mundial. Pero… ¿por qué estas mujeres no son conocidas, y ha costado tanto reconocer su trabajo? Sin duda esta falta de mujeres a las que tener como “ídolas” a seguir, motiva que muchas mujeres de nuestro entorno sigan sin ver posible estudiar y trabajar en posiciones importantes dentro del mundo de las TIC. Y eso a pesar de que las candidatas para trabajos de seguridad cibernética tienden a tener más estudios y preparación que los hombres:

• Las mujeres profesionales tienen más probabilidades de tener un máster o un título superior (51 % de mujeres en todo el mundo, en comparación con 45 % de hombres). 

• Las mujeres también tienden a aportar una experiencia más amplia. Aunque tanto hombres como mujeres se capacitan extensamente en informática, información e ingeniería, es más probable que los títulos de las mujeres provengan de campos como negocios, matemáticas y ciencias sociales (44% para mujeres, en comparación con 30% para hombres).

Otro problema es el referido a las actitudes sexistas que siguen abundando actualmente, por ejemplo, en el deseado californiano Silicon Valley. En el año ¡¡¡2017!!!! un empleado masculino de Google filtró un memorando en el que se argumentaba que “las mujeres son biológicamente inadecuadas para el campo de la tecnología”. El gobierno federal de EE.UU. ha presentado demandas contra empresas tecnológicas por discriminación salarial por motivos de género.

Sin irnos de nuevo a Estados Unidos, vemos que la situación es parecida en nuestro país. Según el Barómetro del sector tecnológico y su ecosistema en Cataluña 2021, que elabora la Fundación Cercle Tecnològic de Catalunya, Ctecno, “la mujer ha tenido hasta ahora un rol mucho más presente en tareas financieras, administrativas o de marketing, que no en posiciones relacionadas con el núcleo de negocio como por ejemplo operaciones o sistemas. Un año más se ve como las incorporaciones de mujeres en estas posiciones TIC siguen están en niveles muy inferiores al deseado, haciendo que la desigualdad entre mujeres y hombres siga siendo muy grande. Cómo podemos observar en los resultados obtenidos en esta edición del barómetro, solo un 6% de las posiciones TIC de las empresas catalanas están ocupadas por mujeres”.

Día Internacional de la Mujer: situación del sector de la ciberseguridad.Banner #mujeresciber del año 2021.
Banner de la edición del año pasado del foro #mujeresciber que organiza el INCIBE.

Pero también España tenemos buenos ejemplos que deberíamos seguir. Es el caso del evento Ciberwoman, organizado hace unos años por Ciberenred, una plataforma de concienciación sobre ciberseguridad. Otro buen ejemplo es el foro #mujeresciber, que trata la brecha de género en digitalización que organiza el INCIBE.

Estamos seguros que en los próximos años tendremos muchas más mujeres en nuestro sector. Cada vez hay más opciones de estudiar ciberseguridad, como nos contó en esta entrevista Amador Aparicio, ingeniero informático y docente.

Y puestos a recordar entrevistas, no puede faltar hoy aquí la que realizamos a Yolanda Corral, mujer cibersegura desde diversas vertientes: periodista, conferenciante, formadora en ciberseguridad, presentadora de eventos… Un ejemplo donde muchas de las mujeres que siguen nuestro blog pueden verse reflejadas.

Finalmente no olvidemos que Paz Esteban es la actual directora del Centro Nacional de Inteligencia y Rosa Díaz es la directora general del INCIBE.

Si estáis interesados en conocer un poco la historia del 8M, podéis enlazar con la web de las Naciones Unidas. Cada año hay un tema específico y para este 2022, es “Igualdad de género hoy para un mañana sostenible”. Los motivos se explican en la web ONU Mujeres.
Finalmente, para las cinéfilas y cinéfilos os recomendamos esta lista de películas sobre mujeres inspiradoras.

Imagen principal: cartel del Día Internacional de la Mujer 2022 en la web ONU MUJERES.

Read more
No Comments

Día de Internet Segura: repercusión

Día de Internet Segura: repercusión

Uno podría pensar que una jornada como el Día de Internet Segura (Safe Internet Day) acapararía la atención de los medios. Por eso, un día después de esta celebración hemos querido ver la repercusión que ha tenido. Esta jornada se celebra desde 1997 el segundo martes de febrero.

Día de Internet Segura: repercusiónDiario ABC
La noticia en el ABC

Internet ha entrado tanto en nuestras vidas que quizá esperábamos un aluvión de noticias, datos, sugerencias y recomendaciones sobre su uso seguro. Pero no ha sido así. En general, sólo podemos destacar algún periódico de alcance nacional, como ABC, que en su edición nacional destaca que “El Incibe celebra el Día de Internet Segura”. Lo podéis leer AQUÍ.

Día de Internet Segura: repercusión.elDiario.es
elDiario.es


Los periódicos digitales, que podrían estar más sensibilizados, tampoco han mostrado demasiado interés. Como ejemplo, elDiario.es publicó una “noticia servida automáticamente por la Agencia Efe” como ellos mismos se encargan de advertir. Una lástima que no hayan sido capaces de redactar algo propio, pero por lo menos han tenido una buena presencia. El título de la noticia es “Navegar seguro por internet, una asignatura pendiente entre los españoles”. La lectura AQUÍ.

Día de Internet Segura: repercusión.MuyComputer
Artículo en MuyComputer

Naturalmente la prensa especializada se ha hecho eco en mayor medida. Resaltamos la noticia en la revista online MuyComputer: “Aprovecha el Día de Internet Segura 2022 para mejorar tu seguridad.” En el artículo, algunos datos y consejos interesantes, como podeís ver AQUÍ.

Incibe lidera el Día de Internet Segura

Como no podía ser de otra manera, algunos estamentos públicos sí que han recogido de buena gana la importancia de este día. Así, por ejemplo Unicef se ha encargado de recordar la importancia de proteger los derechos de la infancia en Internet. Y en su artículo abre debates infinitos muy interesantes, como “¿Limitamos Internet?”, “Qué se puede hacer desde la escuela” o “La implicación de la familia”. Todo ello muy en la línea del reciente estudio que Unicef España realizó sobre el uso de la Red por parte del alumnado de ESO y que nosotros recogimos en ESTE ARTÍCULO.

También resulta interesante ver que algunas comunidades autónomas se han preocupado por el tema. Cataluña, por ejemplo, tiene una web específica que cuelga de la Agencia de Ciberseguridad de Cataluña. La podéis consultar AQUÍ.

Pero naturalmente es el INCIBE el que ha echado el resto. Ha organizado un extenso programa de actividades, con talleres online y un interesante vídeo promocional que podéis ver AQUÍ.

Y para terminar, un par de apuntes curiosos: podéis encontrar este día escrito en masculino y en femenino, o sea Día de Internet Segura o Día de Internet Seguro. Y es que Internet es de las pocas palabras que admite masculino y femenino, como recoge la Real Academia Española en la voz internet, que escriben con minúscula i aclaran “Escrito también con mayúscula inicial” y luego indican “Masculino o femenino”.

Imagen principal: Incibe.

Read more
No Comments

Explicando nuestros servicios (II): CISO externo

Explicando nuestros servicios (II): CISO externo

Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.

La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.

Pero… ¿qué porras es un CISO?

CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.

¿Qué responsabilidades tiene?

Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:

  • Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
  • Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
  • Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
  • Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.

Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.

En España, ¿qué sectores están obligados por ley a contar con un CISO?

Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:

Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.

“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”

¿Cuál es la problemática actual de los CISO de una empresa?

Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.

  • Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
  • ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
  • El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
    Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO.
  • Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?

¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?

  • Auditoria de la infraestructura, poco a poco durante los primeros meses.
  • Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
  • Revisión de assets (activos) públicos y correo electrónico (dominios propios).
  • Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
  • Campaña phising simulada, periódica.
  • Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
  • Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
  • Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.

“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”

¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?

  • Análisis y gestión de riesgos. Infraestructura interna y protocolos.
  • Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
  • Gestión del personal y profesionalidad. Formación, formación y formación.
  • Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
  • Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
  • Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
  • Mejora continua.
  • Interconexión de sistemas.
  • Registro de la actividad de los usuarios.

Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”

No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.


Read more
1 Comment

Otras formas de “ataque”

Otras formas de ataque: los códigos QR

Ataques, infecciones y más campañas de software malicioso. No queremos asustaros, pero sí que tengáis muy presente que estamos tan hiperconectados que los peligros vienen por todas partes y que nunca podemos bajar la guardia. Hace muy poco os hablábamos de los problemas de los smartphones y hoy queremos redondear ese artículo explicando otras formas de “ataque”. Porque como las meigas, “haberlas, haylas”.

Los códigos QR no son más que una versión en dos dimensiones de un código de barras o una URL. El nombre deriva del inglés Quick Response Code, que significa “código de respuesta rápida”. Podéis leer más sobre los códigos QR en la Wikipedia.
Aunque empezaron a usarse en 1994, y en un inicio para localizar y escanear en logística y almacenaje, los códigos QR se han puesto especialmente de moda con la pandemia. Las medidas higiénicas han hecho que se popularicen en restaurantes para acceder a la carta. Pero también se ha generalizado su uso en el turismo, en el comercio o en trámites con la Administración. Tanto es así que se ha estimado que un 86% de usuarios móviles ha escaneado un código QR en el último año.

Pero estar de moda también implica que los ciberdelincuentes se fijen en ellos. Como los usuarios creen que usar estos códigos es seguro, no se toma ningún tipo de prevención. ¡¡Error!! ¿Por qué es un error? De entrada, el usuario clica un enlace que ni siquiera ve y eso puede implicar que detrás haya una acción de phishing y que el enlace redirija a una web maliciosa.
Otro motivo: la captura del código QR se hace a través del smartphone, por lo que el acceso a nuestros datos puede ser inmediato.
Usar los códigos QR y código de barras como vectores de ataque no es nada nuevo. Y así, por ejemplo, debemos tener mucho cuidado con cosas que jamás pensaríamos que puede llevarnos al desastre. Por ejemplo, con un simple billete de avión escaneado en el móvil. Es relativamente sencillo que, a partir de ellos, se obtenga todo tipo de información del usuario. Hay un ejemplo muy claro de esto, nada menos que con un ex primer ministro de Australia, como os explicamos en un artículo titulado Revelación responsable con final feliz en Australia.

Otras formas de ataque. Los videojuegos también son puerta de entrada por parte de los ciberdelincuentes.
Los videojuegos también son una fuente de entrada por parte de los ciberdelincuentes.
Imagen de Parker_West en Pixabay

Els gamers también son objeto de ciberdelincuentes

Nos ocupamos ahora del sector de los videojuegos, que ha ido creciendo espectacularmente con la pandemia. Los aficionados a este tipo de ocio y sobre todo los profesionales, a los que se les llama gamers también están siendo objetivo de los ciberdelincuentes. Según un informe de Kaspersky, entre el tercer trimestre de 2020 y el segundo de 2021 se detectaron más de 5,8 millones de infecciones de malware y software no deseado, o camuflado como no, en los cracks, antídotos o vitaminas, para juegos pirateados. La forma de entrar a estos gamers es también bastante sencilla: las infecciones se disfrazan de los más populares juegos de PC.

En España los videojuegos con mayor incidencia de ciberamenazas fueron Minecraft, Los Sims 4, PUBG Battlegrounds, Fornite y Rocket League. Los expertos de Kaspersky señalan que el “éxito” de entrar a través de Minecraft se debe a que existe una gran cantidad de versiones de este juego y un sinfín de mods, que son modificaciones adicionales del juego para mejorar la experiencia.
Para impedir este tipo de problemas, las recomendaciones más básicas son:

  • No clicar en ningún enlace a sitios externos desde el chat del juego.
  • Descargar las aplicaciones en tiendas oficiales y observar antes los comentarios sobre el juego que han realizado usuarios que ya lo han probado.
  • Utilizar contraseñas complicadas y únicas para cada juego.
  • Instalar en el ordenador soluciones de seguridad adecuadas.
  • Y como no comprar juegos originales, en tiendas físicas, online o autorizados – Steam, Uplay, Humblebundle, Apple App Store, Google Play o Amazon Appstore -, para que no tengáis que usar los cracks (o pasar un antivirus de última generación antes)

La compañía también advierte sobre el malware llamado Bloody Stealer, que ya ha atacado a usuarios en Europa, América Latina y Asia-Pacífico. El malware, que se presenta como servicio (lo que se denomina MaaS), roba datos de cuentas en tiendas conocidas de videojuegos. Os invitamos a leer esta información en el blog de Kaspersky.


WhatsApp no se libra

Terminamos este artículo sobre otras formas de ataque hablando de una campaña realizada a través de correos electrónicos de la popular plataforma WhatsApp. Según la Oficina de Seguridad del Internauta, uno de los portales del INCIBE, los intentos de infección simulaban ser mensajes de WhatsApp en los que se solicitaba a los usuarios que descargasen su copia de seguridad. Al hacerlo los usuarios instalaban un malware en sus dispositivos. El Instituto Nacional de Ciberseguridad recomienda eliminar el archivo y el correo recibido. Y en caso de haberse descargado y ejecutado el archivo habrá que escanear el dispositivo con un antivirus actualizado.

Como veis, una vez más, debemos advertiros de los peligros que hay. Incluso en cosas tan aparentemente inocuas como los códigos QR, la afición a los videojuegos o un mensaje que tiene el aspecto de ser de WhatsApp.

Son muchas las opciones que tienen los delincuentes para hacerse con nuestros datos y las de nuestras empresas. Os explicamos otros ejemplos en este artículo de nuestro blog donde advertíamos de los problemas de las cámaras de seguridad y los protocolos wifi.

Y hay que insistir: como dice el INCIBE, hay que escanear el dispositivo con un antivirus actualizado. Eso significa que la prevención es el mejor método para trabajar, divertirse o simplemente comunicarnos con nuestros círculos próximos.
Confiar en expertos en ciberseguridad es la mejor solución, la que permite dormir más tranquilamente a los empresarios y profesionales y a toda aquella persona que use los mil y un sistemas que la tecnología pone en nuestras manos.

Imagen principal: Gerd Altmann en Pixabay

Read more
1 Comment

Seguros de ciberriesgo, no os la juguéis a una sola carta!

Seguros de ciberriesgo después del despegue: ¡cuidado!

Algunas empresas creen que un seguro de ciberriesgo basta para cubrir posible incidentes de ciberseguridad. Pero eso no es exactamente así y pueden encontrarse con muchas sorpresas. Leer la letra pequeña, entender lo que se propone exactamente en la póliza y saber que es un seguro y como actúa. Pensad que estos productos son genéricos y somos nosotros los que hemos de cumplir, igual que si lo hiciéramos para un vehículo: en caso de accidente y el conductor con positivo en alcohol o drogas ¿la aseguradora nos cubriría?

Hace unos años celebrábamos que por fin, el sector seguros se pusiera manos a la obra con los ciberriesgos, y ofreciera estos productos a empresas no tan grandes, que hasta ahora eran las beneficiarias de estas pólizas.

Pero tras unos años de gran aceptación, de su comercialización incluso a través de bancos, y sobre todo, contratándolos sin ton ni son a empresas que no tenían securizados —ni en lo más mínimo— sus sistemas, ha hecho que los incidentes sigan estando presentes, se sigan repitiendo (incluso varias veces en las mismas infraestructuras) y por lo tanto, se empiezan a no pagar ciertos incidentes, y a subir el precio de las pólizas.

Seguros de ciberriesgo después del despegue: ¡cuidado!

El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Así que el daño que ocasiona el ransomware y lo que le cuesta a las empresas su rescate ha tenido también mucho que ver. ¿Por qué? Pues porque las empresas querían aprovechar estas pólizas para poner su futuro en manos de un seguro. Craso error, porque lo que de verdad es interesante es ponerse en manos de la tecnología, formar a sus equipos y elaborar planes concretos. Y cuando eso no se hace, llegan los incidentes y se espera que el seguro pague.
Tan importante es el tema que os queremos recomendar una publicación: Ransomware: una guía de aproximación para el empresario que publicó el INCIBE y que podéis descargaros AQUÍ.

Muchos han pasado por todo esto y por malas planificaciones. Y entonces llega la aseguradora y por mucho empeño y ayuda que ponga, al darse cuenta que la empresa en cuestión no tiene una política de seguridad correcta y aprovechable, solo puede recomendar pagar el rescate. Y debemos decir que este pago, en este país, es ilegal y objeto de persecución por parte del Ministerio de Hacienda, como bien se describe en este artículo de El Economista que podéis leer AQUÍ.

Pero sigamos, porque llegados a este punto tenemos la ecuación perfecta: aumento de incidentes = aumento de gasto. En consecuencia no queda más que subir la prima de las pólizas, como bien reza este ARTÍCULO.
Tampoco es muy buena idea contratarlas sin ton ni son. En este segundo caso hay aseguradoras que mas que una póliza te da unos servicios propios, obligatorios, que si fallan, entonces si pagan la cobertura.

Y ya hay informes de que una empresa que pague un rescate, como ya hizo poco anteriormente por la seguridad, los ciberdelincuentes saben que son un caramelo: accesibles y pagan rescate, así que vuelven a actuar contra ellos. Nada menos que lo cuantifican en un 80%, las empresas que han cedido al chantaje y vuelven a ser vulneradas en menos de un año, y casi siempre por el mismo grupo. Artículo al completo AQUÍ.

Nos gusta ser profesionales, así que, aunque una aseguradora pueda pagar por este tipo de incidencia, nos preguntamos: ¿cómo se atreven las empresas a no hacer ninguna acción preventiva y fiarlo todo a la carta de “ya me lo arreglará el seguro, porque para eso lo pago”?

Insistimos una vez más: un seguro debe ser un producto complementario a nuestros planes de ciberseguridad, lo más completos posibles, revisables cada cierto tiempo, y con una guinda, como podría ser esta opción. Pero nunca, nunca el seguro debe ser nuestro único plan.

Por eso mismo TECNOideas ofrece entre sus servicios la opción de buscar un seguro que cubra todas vuestras necesidades según vuestra facturación anual. Y esa es otra, porque los ciberdelincuentes suelen pedir el rescate según la facturación anual de una empresa y por eso las compañías de seguros aplican el mismo criterio al valorar la prima a pagar por un ciberseguro.

Imagen principal: Mary Pahlke en Pixabay

Read more
1 Comment

Desmantelado Emotet, el enemigo público número uno

emotet

Emotet estaba considerado el virus más peligroso del mundo. Activo desde 2014, capaz de secuestrar equipos y solicitar un pago a sus víctimas y con un alcance global, se había convertido en un verdadero dolor de cabeza para miles de empresas. En Estados Unidos se estimaba que cada acción de este troyano generaba en las empresas afectadas más de un millón de dólares para resolver la incidencia causada. Por supuesto, también ha campado a sus anchas por España. Pero ahora, finalmente, ha sido desmantelado Emotet, el enemigo público número uno.

Sin ir más lejos, este “malware” fue el más empleado por los cibercriminales durante el pasado mes de diciembre para robar datos a las empresas. Se calcula que afectó a un 15% de las compañías españolas, como podéis comprobar en ESTE INFORME del 7 de enero de Check Point Software Technologies, un proveedor global de soluciones de seguridad informática. En su blog también encontraréis un ranking de las principales familias de malware que esta empresa realiza periódicamente. En diciembre Emotet volvía a estar en el número uno de peligrosidad.

Y decimos “malware” entre comillas, porque emotet, tal como explicamos en un artículo anterior AQUÍ, es un contenedor, que puede aceptar diferentes módulos o “plugins”, para realizar acciones concretas, por zonas, por sistemas, etc…

Desmantelado Emotet, el enemigo público número uno. Infografía de Europol con información del malware.
La importancia de Emotet se pone de manifiesto cuando vemos que Europol realizó esta infografía informativa sobre el virus.

Una acción global de la policía


Aquí arriba tenéis una interesante infografía de Europol, la Unión Europea para la Cooperación Policial, donde se explica claramente el peligro de Emotet. Tan malicioso era este malware que se ha necesitado una intervención internacional a gran escala para su desmantelamiento. En ella han participado Alemania, Estados Unidos, Países Bajos, Reino Unido, Francia, Lituania, Canadá y Ucrania, bien coordinados por Europol y Eurojust, la agencia de la Unión Europea para la Cooperación Judicial Penal. Las autoridades policiales y judiciales han conseguido tomar el control de su infraestructura y desmantelarlo, poniendo así fin a la red de bots de Emotet.

Una larga historia delictiva

Sin lugar a dudas Emotet ha sido uno de los peligros más complicados de desactivar y más duraderos. En 2014 saltó al primer plano de la ciberseguridad como un troyano bancario. Pero la cosa fue mucho más allá, ya que actuaba como la llave de una cerradura, capaz de abrir las puertas de sistemas informáticos de todo el mundo. Y una vez conseguido esto, la llave se vendía a ciberdelincuentes de alto nivel que desplegaban actividades como robo de datos y extorsión. Mediante un sistema totalmente automatizado, Emotet se difundía a través de documentos de Word adjuntos a un correo electrónico. Por ejemplo, en España, durante la pandemia, se presentaba como facturas, avisos de envío e información sobre la Covid 19.

Pero… ¡estabais advertidos!

Si sois fieles seguidores de este blog, seguramente todo esto os suene ya un poco, porque nos hemos ocupado en varias ocasiones de Emotet. Por ejemplo, en febrero de 2020, cuando os contamos que en la conferencia de la asociación Hackplayers H-Con estuvimos en una conferencia de Markel Picado titulada “Comunicándome con el enemigo: Emotet tracking”. Podéis leer el post AQUÍ.
Incluso tuvimos que glosar la virguería de programación que significaba Emotet. ¡Qué lástima que la gente que es capaz de realizar una programación tan complicada que incluso afectaba a varios cientos de miles de servidores de todo el mundo y con capacidad de propagarse en forma de red descentralizada, usen su sapiencia para el lado oscuro!

Pero donde realmente os contábamos muchas más cosas sobre Emotet, el enemigo público número uno, fue en el artículo publicado el 10 de agosto de 2020 con el título “Contramedidas para Emotet: sustituyen malware por Gif’s”. Incluso os enlazamos con un artículo del Incibe donde se explicaba como limpiar vuestro equipo de este virus.

Bueno, empezamos el año con una muy buena noticia para la ciberseguridad mundial. Y como veis, TECNOideas está a la altura, comme d’habitude. Nos encanta que nos sigáis y os recordamos que ahora tenéis la opción “Deja una respuesta” al final de cada uno de los artículos de este blog. ¡Animaros y dejad vuestras opiniones!

Read more
No Comments

Siente el placer… dispositivo secuestrado

"Hoy es un anuncio, mañana no"

Así comienza un anuncio que estamos viendo en televisión. Se trata de una campaña publicitaria institucional que ha realizado el Instituto Nacional de Ciberseguridad (INCIBE). Se dirige a todo tipo de público objetivo: empresas, ciudadanos y menores y su entorno.

La campaña publicitaria del INCIBE simula un ciberataque: "Siente el placer... dispositivo secuestrado".
La campaña del INCIBE simula un ciberataque

La campaña cuenta con diferentes contenidos gráficos y multimedia, mensajes cortos, claros y directos que persiguen que el usuario se identifique con lo que ve y escucha. El spot televisivo es el más impactante porque comienza con unas bellas imágenes de una chica andando por un campo cuya mano acaricia flores (recuerda la secuencia de la película “Gladiator”) mientras la voz en off dice “Siente el placer…” y de inmediato se interrumpe la imagen por un ciberataque y aparece el mensaje “dispositivo secuestrado. ¿Quieres desbloquearlo? Pagar”.

“Hoy es un anuncio, mañana no” lema de la campaña

En el caso del anuncio dirigido a menores, el spot es similar y comienza con un “Juega con las…” mientras se ven unas imágenes de videojuegos. Luego se interrumpe con el mismo mensaje anterior.

El lema de la campaña es también muy claro: “Hoy es un anuncio, mañana no” y finaliza con un llamamiento: llamar al 017 en caso de tener dudas sobre ciberseguridad.
Para la campaña en redes sociales se ha habilitado el hashtag #HoyEsUnAnuncio.
La idea general es muy clara: si no se toman precauciones mañana se podría recibir un ciberataque real.

"Hoy es un anuncio, mañana no" es el lema principal de la campaña publicitaria del INCIBE.
“Hoy es un anuncio, mañana no” es el lema principal
de la campaña publicitaria del INCIBE.


Con esta campaña el INCIBE pretende concienciar y sensibilizar a la población sobre los riesgos de Internet y las nuevas tecnologías e incidir en la necesidad de un uso seguro y responsable.

Podéis ver los anuncios en la web del INCIBE o en el Twitter @INCIBE

El INCIBE es el Instituto Nacional de Ciberseguridad de España. Es una sociedad dependiente del Ministerio de Asuntos Económicos y Transformación Digital. Fundado en 2006, se trata de un organismo público que es referente en el campo de la ciberseguridad. Entre sus servicios destaca la Línea de Ayuda en Ciberseguridad, el teléfono 017 que es gratuito y confidencial y funciona todos los días del año. Puesto en servicio en febrero de este año, ha recibido ya 30.000 llamadas.

El INCIBE tiene su sede en la ciudad de León y ha apoyado firmemente la candidatura de la ciudad como sede del Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad.
Sin embargo, la ciudad de Castilla y León no convenció, básicamente por la falta de aeropuerto internacional y la UE se decidió por la candidatura de Bucarest.

TECNOideas 2.0 ciberseguridad está certificado por el INCIBE y aparecemos en su catálogo, como podéis ver AQUÍ.
Apoyamos y aplaudimos la iniciativa del INCIBE, que demuestra hasta que punto la ciberseguridad es necesaria y la concienciación general todavía más, especialmente en tiempos de pandemia y teletrabajo.

TECNOideas 2.0 tiene un importante departamento de formación que ayuda a concienciar a empresas y sus trabajadores sobre la importancia del trabajo seguro.
Recordad también que entre los servicios que ofrecemos se encuentran la ciberseguridad informática, la ciberseguridad industrial, el análisis forense y la consultoría legal, los derechos de autor y reputación online, la consultoría de seguridad o la posibilidad de certificarse con nosotros para obtener el Esquema Nacional de Seguridad (ENS), obligatorio para todas las empresas  que se relacionen con las administraciones públicas y organizaciones relacionadas.

Confiad en TECNOideas para no tener que ver nunca en vuestros dispositivos “Siente el placer… dispositivo secuestrado”.

Read more
No Comments

Nos vamos a León, al Enise

Pues sí, vamos a León, al 13er Encuentro Internacional de Seguridad de la información.

Nos han seleccionado para presentar un proyecto que hemos elaborado junto con UHY FAY & Co Auditores de Barcelona, para normalizar las auditorias de Ciberseguridad dentro de las empresas y equipararlas a las auditorias contables.

13er Encuentro Internacional de Seguridad de la información
13er Encuentro Internacional de Seguridad de la información

Será dentro del programa Ciberemprende, y nos hace mucha ilusión ya que preparamos el proyecto durante las vacaciones y tendremos la ocasión de ver otros 29 proyectos entre los días 22 y 23 de este mes.

Os iremos narrando la experiencia en directo desde allí, pero esperamos empaparnos de conocimiento y disfrutar la experiencia.

Read more
No Comments