May 30

Artículo: Cuidado con este malware: abrir un simple enlace puede dar acceso a todo tu equipo.

Artículo publicado por nuestro compañeros de ZONAVIRUS.

Son muchas las amenazas que pueden afectar a nuestros dispositivos. Muchos métodos que pueden ser utilizados para atacar de diversas formas, como robar información, contraseñas o representar un problema para el funcionamiento de los sistemas. Por suerte tenemos muchas opciones para defendernos. Muchos programas y herramientas de seguridad que podemos instalar en nuestro equipo. Pero también los ciberdelincuentes saben actualizarse e introducir mejoras. En este artículo vamos a explicar cómo podrían atacar un equipo y acceder a través de una puerta trasera, simplemente con un link enviado por correo electrónico.

Un simple link puede abrir una puerta trasera en un equipo

Se trata del grupo de ciberdelincuentes denominados Fancy Bear APT. Han lanzado una campaña a través del correo electrónico para afectar a sus víctimas. Utilizan un enlace acortado mediante Bitly. A través de este link despliega la primera parte de la amenaza. Lo que hace este link es basarse en la dirección IP y mantiene la carga útil del archivo en segundo plano.

Esa carga útil contiene dos archivos: por un lado está el ejecutable que contiene el código malicioso y por otro lado está un PDF que actúa como archivo principal. El malware se ejecuta en cuanto la víctima abre el archivo. Le pedirán que introduzca una clave. Ese archivo PDF aparentemente está vacío, pero realmente ejecuta su proceso malicioso en segundo plano. Aquí es cuando comienza la segunda etapa y descarga otro archivo malicioso cuyo objetivo es crear una puerta trasera en el equipo.

A través de esta puerta trasera envía información relacionada con el sistema y el usuario.

Como hemos visto, todo este proceso llega simplemente a través de un link acortado que podemos recibir por correo electrónico. Conviene por tanto tener cuidado con este tipo de enlaces, así como cualquier otro que nos llegue por e-mail. Vamos a dar una serie de consejos para evitar ser víctima de esta amenaza.

Consejos de seguridad frente al malware

Cómo evitar ser víctima de este tipo de amenazas

Lo primero y más importante es el sentido común. Nunca hay que acceder a links que podamos recibir por correo electrónico y que no tengamos todas las garantías. A veces pueden presentarse a través de un enlace acortado, como hemos visto. No sabemos realmente qué hay detrás de ese link, por lo que hay que desconfiar. En un artículo anterior vimos cómo ver la dirección de un link acortado sin abrirlo.

Por otra parte, es muy interesante contar con programas y herramientas de seguridad. Es así como podemos protegernos de posibles amenazas que puedan comprometer nuestro sistema. Siempre conviene tener este tipo de software sin importar la plataforma que utilicemos.

Además, nuestro equipo tiene que estar actualizado a la última versión. En ocasiones pueden surgir vulnerabilidades que son aprovechadas por los ciberdelincuentes para desplegar amenazas. Es importante contar siempre con los últimos parches y actualizaciones que los propios fabricantes sacan.

En definitiva, siguiendo estos consejos básicos y esenciales podemos hacer frente a las principales amenazas que comprometan el buen funcionamiento de nuestro equipo y supongan un riesgo para nuestra privacidad.

Abr 30

Artículo: Cuidado con los instaladores MSI de Windows: piratas informáticos los usan para distribuir malware.

Lo importante de tener un buen sistema de seguridad: ni más ni menos que un buen antivirus y un  buen analizador de malware  (entre otros aspectos). Aunque no nos garantizan que aún así podamos estar expuestos, sí reducen considerablemente que no nos tengamos que preocupar.

 

Artículo publicado en Zonavirus

Los instaladores MSI (Microsoft Installer) son un paquete de instaladores que contienen toda la información necesaria para automatizar la instalación del programa y reducir al mínimo la interacción del usuario con el proceso. Este tipo de instaladores es muy cómodo y rápido, tanto para usuarios estándar como para administradores de sistemas, ya que simplifica mucho la instalación y el mantenimiento de todo tipo de software. Sin embargo, los piratas informáticos han empezado a aprovecharse de este tipo de paquetes, encontrando la forma de ocultar y distribuir malware a través de ellos.

Tal como informan los investigadores de TrendMicro, recientemente se han empezado a ver en la red una serie de ficheros MSI maliciosos, distribuidos generalmente a través del correo electrónico, en cuyo interior se esconde un peligroso código JScript/VBScript utilizado para infectar los ordenadores de las víctimas.

La firma de seguridad advierte de que el ataque informático se inicia con el correo electrónico, en el cual se encuentran una serie de enlaces desde los que la víctima descargará, a través de una serie de engaños, el fichero MSI malicioso. Este fichero ha sido modificado por los piratas informáticos para que parezca un instalador de Adobe Acrobat Reader DC de manera que, además de no levantar sospechas por parte del usuario, también será capaz de evitar las medidas de seguridad que tengamos instaladas en el equipo.


Los expertos de seguridad creen que los piratas informáticos deben estar probando otras aplicaciones para ocultar esta amenaza dentro del instalador MSI, por lo que sería fácil encontrarnos con instaladores que se hicieran pasar por otras aplicaciones, no solo por Adobe Acrobat Reader.



El código JavaScript oculto en el instalador MSI se encarga de descargar otros ficheros de configuración desde servidores AWS, entre los que se encuentra un peligroso troyano bancario utilizado para robar los datos personales y bancarios de las víctimas.

Cómo protegernos de estos archivos MSI peligrosos

Como explican los investigadores de seguridad, los piratas informáticos están haciendo uso del correo electrónico para distribuir este tipo de instaladores maliciosos y comenzar así con los ataques informáticos. Por ello, la primera barrera desde la que debemos protegernos es desde nuestra bandeja de entrada.

Según TrendMicro, el instalador MSI no viene adjunto para no levantar sospechas, sino que se ofrece a las víctimas a través de un enlace incluido en el texto de dicho email. Por ello, lo primero que debemos hacer para evitar caer en las garras de estos piratas es usar siempre el sentido común y evitar acceder a los enlaces que nos vienen en los mensajes de correo, sobre todo si no estamos seguros al 100% de quién lo ha enviado.

Si por algún motivo hemos descargado el instalador MSI, mientras no lo ejecutemos en nuestro ordenador no deberíamos estar en peligro. Eso sí, si lo hemos ejecutado una sola vez, seguramente los piratas informáticos ya hayan logrado infectar nuestro PC con su malware, y en ese caso será necesario que analicemos nuestro PC con un antivirus actualizado cuanto antes para poder detectar y eliminar esta amenaza.

Abr 30

Artículo: 4 consejos para proteger los entornos multicloud.

Consejos que de vez en cuando no está mal el recordar. Seamos sensatos y actuemos.

Artículo publicado en globbsecurity.

Transcripción literal:

La nube se ha convertido en la impulsora de la transformación digital de las empresas pero, al mismo tiempo, es una de las infraestructuras TI más criticas de las organizaciones. Y es que, en los últimos años, estamos viendo como la mayoría de organizaciones han ido adoptando tecnologías en la nube, a veces de manera ordenada y a veces de un modo más espontáneo.

A día de hoy, son muchas las organizaciones en las que se utilizan infraestructuras y sistemas híbridos en los que conviven aplicaciones, sistemas y servicios que funcionan de sus centros de datos con aplicaciones, servicios e infraestructuras en la nube.

En este sentido, Joerg Heese, Senior Partner Manager Cloud Services de 1&1 IONOS, ha recopilado algunos consejos para mejorar la seguridad multi-cloud, haciendo hincapié en la importancia de implementar una estrategia de seguridad que ayude a proteger la información.

Consejos para proteger la información almacenada en la nube

  • Integridad de los datos: En el ámbito del cloud computing, la integridad de los datos es especialmente crítica. Debido a las características de la computación en la nube, varios usuarios pueden estar accediendo simultáneamente y modificando determinada información. Por ello, deben implementarse los mecanis­mos que garanticen la correc­ta integridad de los datos. Por ello, cuando se utilicen varias nubes, por ejemplo, combinando servicios de nube privados con servicios de nube públicos, es necesario asegurarse de que la integridad de todos los datos esté garantizada.
  • Conectividad: disponer de una buena conectividad para acceder a los servicios alojados en la nube desde la ubicación en la que trabajamos es un aspecto fundamental. La migración, así como la calidad de la experiencia final, dependerán en gran medida de este aspecto. Por ello, desde 1&1 se recomienda asegurarse de que la conectividad entre las diferentes nubes es segura, lo que significa que la conectividad en sí está encriptada y que sólo los usuarios autorizados tienen permiso para acceder a sus datos.
  • Libro de seguridad: cumplir con los estándares de seguridad en varias industrias puede ser todo un reto cuando se utilizan múltiples nubes. El uso de un libro de instrucciones de seguridad, que debe ser proporcionado por su proveedor de servicios cloud, definirá los requisitos de seguridad de la empresa y ayudará a cumplir con esos estándares.
  • Transparencia: es importante identificar una violación de datos lo antes posible para tomar las medidas adecuadas para proteger sus nubes. Por ello es recomendable elegir un proveedor de cloud que se comprometa a informar sobre un incidente de forma oportuna, de este modo podrán evitar que otros servicios de cloud se vean afectados por una infracción.

Un entorno multi-cloud proporciona una flexibilidad sin precedentes, ya que permite a los usuarios personalizar sus capacidades de cloud computing seleccionando y conectándose a los servicios cloud que la empresa necesita.  Sin embargo, los usuarios no deben subestimar la complejidad de este modelo de nube y sus implicaciones en términos de seguridad informática.

Abr 30

Artículo: Contraseña por defecto de los routers de Movistar, Vodafone, Orange, Jazztel y otros.

Interesante artículo, aunque ya recurrente, no es óbice para volver a advertir la conveniencia de cambiar las contraseñas de nuestros routers.

Artículo publicado en Zonavirus.

Una de las primeras cosas que solemos hacer cuando el técnico que nos acaba de instalar la conexión de fibra óptica se marcha de nuestra casa es entrar a 192.168.1.1, la puerta de enlace predefinida en la mayoría de los routers, para poder empezar a trastear en la configuración de nuestro nuevo router, cambiar la contraseña del Wi-Fi y ajustar los parámetros según nuestras necesidades. Cuando entramos a esta IP, lo primero con lo que nos toparemos será con la pantalla de inicio de sesión donde tendremos que introducir un usuario y/o una contraseña para poder entrar a la configuración. Y es aquí donde empiezan los problemas.

Cada compañía ofrece a sus usuarios un router diferente (aunque todos igual de malos), y por ello cada modelo tiene sus propias peculiaridades, como su propio usuario y su propia contraseña por defecto. Con la gran cantidad de routers que hay en el mercado, puede llegar a ser complicado conocer los usuarios y las contraseñas de todos ellos.

Por ello, en este artículo vamos a intentar recopilar los principales usuarios y contraseñas que suelen venir por defecto en los routers de las principales compañías.

Contraseñas por defecto más comunes para los principales routers del mercado

Antes de entrar en detalle con las contraseñas concretas de los principales routers del mercado vamos a dar un breve repaso a las contraseñas por defecto más utilizadas en la mayoría de los routers que nos podemos encontrar.

Si estamos perdidos y no sabemos por dónde empezar, las primeras combinaciones que podemos empezar a probar para intentar lograr el incio de sesión son:

admin/admin
1234/1234
admin/1234
1234/admin
password/password
admin/password
root/root
superuser/superuser

Si estas combinaciones de usuario y contraseña no nos permiten iniciar sesión, puede que el router de nuestro operador tenga alguna particularidad.

Usuario y contraseña por defecto de los routers de Movistar

Movistar ha estado utilizando muchos años las combinaciones admin/admin y 1234/1234 por defecto para iniciar sesión, aunque esto al final permitía a cualquiera poder entrar a la configuración del router sin ninguna dificultad.

Por ello, los nuevos routers de fibra, como el HGU, vienen con una contraseña única y diferente para cada dispositivo, contraseña que no se puede adivinar, pero que viene impresa en la parte inferior del router, en la pegatina.

Así, entrando a la IP del router e introduciendo esta contraseña podremos iniciar sesión fácilmente y acceder a toda la configuración.

Usuario y contraseña por defecto de los routers de Orange y Jazztel

Jazztel y Orange se caracterizan por ofrecer a sus clientes los conocidos routers Livebox Fibra. Estos routers no brillan especialmente por sus características ni prestaciones, y por supuesto no van a usar contraseñas únicas para proteger el acceso a usuarios no autorizados.

El usuario y la contraseña por defecto de los Livebox Fibra de Jazztel y Orange es siempre admin/admin.

Si tenemos un router antiguo de Jazztel, como el F680 de ZTE, el usuario y la contraseña por defecto de este router será jazztel/jazztel para entrar al menú de configuración completo. Si usamos “user/user” entonces entraremos al panel de usuario, con las funciones limitadas.

Usuario y contraseña por defecto de los routers de Vodafone / ONO

vodafone fibra router

Vodafone tampoco suele utilizar contraseñas únicas en sus routers, por lo que para entrar en sus routers se suele utilizar alguna de las combinaciones clásicas que hemos visto anteriormente.

Además, también suele recurrir a contraseñas únicas como:

vodafone / vodafone

Usuario y contraseña de los routers de Yoigo y MasMovil

Los routers que nos prestan estos dos operadores cuando contratamos fibra óptica con ellos tampoco hacen uso de la contraseña única, por lo que para entrar a su configuración debemos usar las contraseñas por defecto de sus routers.

En el caso de MasMovil, el router más común es el F680 de ZTE, y para entrar a su configuración simplemente debemos introducir de usuario y contraseña la combinación:

masmovil/masmovil

Si no tenemos el F680 de MasMovil, entonces debemos probar las contraseñas más comunes que hemos visto antes, empezando por admin/admin que casi seguro nos brindará acceso.

En el caso de los routers de Yoigo, el usuario y la contraseña por defecto suele ser admin/admin, aunque puede variar por otras combinaciones comunes como las que hemos explicado al principio del artículo. Es cuestión de ir probando hasta dar con la exacta.

¿Debo cambiar la contraseña por defecto de mi router?

Por supuesto. Las dos primeras cosas que debemos hacer cuando entramos en la configuración de nuestro router es cambiar la contraseña del router por una más segura que evite que otros usuarios puedan conectarse a él, y a continuación, cambiar también la contraseña por defecto del Wi-Fi por otra más segura y sencilla de recordar, asegurándonos de estar usando siempre el protocolo WPA2.





Cambiar contraseña router

De esta manera, a pesar de las malas prácticas que utilizan los routers que nos prestan las compañías, al menos podremos reforzar un poco nuestra seguridad, protegernos de posibles ataques y estar seguros de que nadie se conecta sin permiso a nuestra red.

Abr 30

Artículo:Revelan fallo en Chrome para móviles que permite sustituir la barra de direcciones por una falsa

Artículo publicado por nuestros compañeros de welivesecurity: 

Ver Link

Transcripción original:

En la app de Chrome para teléfonos móviles, si un usuario desliza verticalmente hacia arriba su dedo (lo que se conoce en inglés como hacer scroll hacia arriba), el navegador esconde la barra de direcciones con la URL del sitio en el que el usuario está. Sin embargo, esta acción, que busca ofrecer una mejor experiencia al usuario (sobre todo aquellos que utilizan dispositivos con pantallas pequeñas), puede ser manipulada por un sitio de phishing para engañar al usuario y mostrarle una falsa barra de dirección y mostrar una URL apócrifa.

Fuente: jameshfisher.com

Esta vulnerabilidad en la aplicación de Chrome la descubrió el desarrollador James Fisher, quien publicó en su sitio web los detalles de este hallazgo (al cual denomino “the inception bar”); y añadió que en caso de ser utilizado para ataques de phishing podría engañar a muchos usuarios al hacerles creer que está en un sitio web que en realidad no es tal.

Para ilustrar cómo funciona, el desarrollador elaboró un video en el cual creo una falsa barra de dirección con la URL de un reconocido banco. Sin embargo, si bien pareciera que la página que se muestra está alojada en el sitio del banco, en realidad está alojada en su sitio web: jameshfisher.com.

 

Según explica en su post, apenas el usuario hace scroll hacia arriba, Chrome enseguida vuelve a mostrar la verdadera barra de dirección con la URL legítima. Sin embargo, es posible engañar a Chrome para que no vuelva a mostrar la verdadera barra de direcciones y hacer que el usuario esté “atrapado” en el movimiento de scroll, en el que la víctima cree que está en su navegador, pero en realidad está en un navegador dentro de su navegador, explica Fisher.

Si bien para el video se utilizaron capturas de pantalla de un banco, el desarrollador explicó que con un poco más de trabajo es posible crear barras de direcciones interactivas falsas. Por lo tanto, si el usuario no cae en la trampa en la página actual, el atacante tendrá otra oportunidad en si el usuario coloca la dirección Gmail.com en la falsa barra de direcciones interactiva.Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la página en busca de la barra de direcciones, un atacante puede agregar un elemento de relleno en la parte superior del sitio e incluso engañar al usuario al hacerle creer que la página se refrescó.

Este fallo en la app de Chrome para móviles de momento no se ha visto en acción por parte de actores maliciosos, pero sin dudas es algo que Chrome deberá analizar cómo utiliza la opción de esconder la barra de direcciones en móviles cuando el usuario hace scroll.

Abr 23

Artículo: Tipos de backup y los errores más comunes a la hora de realizarlo.

Eres eficiente a la hora de crear una buena copia de seguridad? De la mano de welivesecurity te presento el siguiente artículo:

 

Con el creciente uso de los más diversos tipos de tecnología, términos como respaldo o backup dejaron de resultar extraños para la mayor parte de los usuarios. En caso de que aún no estés familiarizado con este término o lo conozcas pero no lo consideres tan importante, a continuación explicaremos qué es el backup, cuáles son los principales tipos de backup que existen y cuáles son los errores más comunes a la hora de realizarlo.

El concepto detrás de backup existe mucho antes de recibir este nombre. Siempre que algún documento o información importante era copiado y guardado en dos lugares diferentes con el fin de que esa información no se pierda, se estaba realizando un backup de esa información. Así, en caso de que la versión original se dañe, es posible recuperar la información recurriendo a esa copia que fue dejada en un lugar diferente y seguro.

Cuando fue adoptado por personas y empresas, y se llevó al terreno de la tecnología, sus características originales no cambiaron; tan solo se añadieron nuevos recursos para hacer que las copias de seguridad fuesen más productivas.

Existen tres principales formas de realizar un backup: completo, progresivo y diferencial.

Backup completo

Como el nombre lo sugiere, se refiere al proceso de copiar todo aquello que fue previamente considerado importante y que no puede perderse. Esta copia de seguridad es la primera y la más consistente, ya que puede ser realizada sin la necesidad de herramientas adicionales.

Backup progresivo o incremental

Este proceso de copia exige un nivel de control mucho mayor sobre las distintas etapas del backup en sí, ya que realiza la copia los archivos teniendo en cuenta los cambios que sufrieron desde el último respaldo. Por ejemplo, imagina que has realizado un backup completo. Una vez terminado decides continuar con un backup progresivo y creas dos archivos nuevos. El backup progresivo detectará que todos los archivos del backup completo son los mismos y procederá a copiar solamente los dos archivos nuevos que fueron creados. Por lo tanto, el backup progresivo representa un ahorro de tiempo y de espacio, ya que siempre habrá menos archivos para ser respaldados que si se llevara adelante un backup completo. Recomendamos que esta estrategia de backup no sea ejecutada manualmente.

Backup diferencial

El diferencial tiene la estructura básica del backup progresivo, es decir, hace copias de seguridad solo de los archivos que sufrieron alguna modificación o que son nuevos. El cambio en este modelo de backup está en que todos los archivos creados después del backup completo siempre serán copiados nuevamente. Debido a las similitudes con el modelo anterior, tampoco se recomienda que el proceso se realice manualmente.

Dónde realizar el backup

Una vez que elegimos el tipo de backup que más se ajusta a nuestras necesidades, es importante definir dónde será almacenado. En este sentido, los soportes más utilizados para el almacenamiento de la información varían con el paso de los años. De hecho, ya se han realizado respaldos en disquetes, CDs, DVD,s, cintas magnéticos, discos Blu-Ray, discos rígidos externos, servicios de almacenamiento en la nube, entre otros. Una pregunta que debe responderse a la hora de decidir dónde será almacenada la copia de seguridad es: ¿por cuánto tiempo voy a tener que guardar ese respaldo? Según cuál sea la respuesta, será más sencillo determinar el medio en el cual almacenar los archivos.

La siguiente tabla contiene un estimativo de la vida útil de distintos sistemas de almacenamiento:

Medio Fecha de creación Vida útil Capacidad
HD 1956 5 – 10 años GB hasta TB
Disquete 1971 3-5 años Centenas de KB hasta algunos MB
CD/CD-ROM 1979 25 – 50 años 80 minutos o 700 MB
MD (Mini Disc) 1991 25 – 50 años 60 minutos o 340 MB
DVD 1994/1995 25 – 50 años 4.7 GB
Tarjeta SD 1994 10 años o más Pocos MB a decenas de GB
Pendrive 2000 10 años o más Pocos MBs a decenas de GB
SSD 1970-1990 10 o más GB hasta TB

Fuente: showmetch.com.br

Si bien ya tenemos algo de información que nos ayudará a mantener una rutina de backup estable y funcional, algunos todavía se preguntarán si realmente es necesario hacerlo y por qué es considerado tan esencial.

Dado que para responder a esta pregunta adecuadamente es necesario conocer las necesidades de cada empresa u hogar, a continuación, planteamos dos escenarios ficticios que servirán para ejemplificar instancias en las que el backup adquiere un gran valor.

  • Para empresas

El año es 2017, la empresa Empresa Ficticia Co. comenzó sus actividades a las ocho de la mañana como de costumbre. Cerca de las 11 horas, uno de los responsables de TI escucha un ruido diferente en un sector próximo. Su teléfono suena inmediatamente después del ruido. Al atender el llamado se da cuenta que la estación de trabajo está totalmente paralizada y lee un mensaje en la pantalla que le informa que los datos fueron cifrados. El mismo mensaje es exhibido en algunas de las otras máquinas ubicadas en este y otros sectores de la empresa, hasta que llega la noticia de que el servidor de archivos de la empresa se detuvo como consecuencia del mismo problema: el ransomware WannaCry.

En este ejemplo ficticio, la empresa, que dependía de su servidor de archivos para poder operar, podría fácilmente no haber sufrido la paralización de sus sistemas, provocado por el ataque del ransomware, si hubiese una copia de seguridad del servidor de archivos.

  • Ejemplo hogareño

El señor Despreocupado da Silva estaba mirando la televisión sentado en el sofá de su casa, cuando de repente sintió nostalgia y le dieron ganas de ver las fotos de su casamiento y el nacimiento de su hijo. Cuando se dispone a ver las fotos comienza a llover. Una vez que termina de verlas, el señor Despreocupado va hacia la cocina para comer algo y deja la computadora enchufada a la corriente. De repente, se escucha el estruendo de un rayo que cae cerca y de repente se corta la luz. Al día siguiente, luego de que el suministro eléctrico vuelve a la normalidad, descubre que el disco rígido de su computadora se rompio y que todos sus recuerdos fotográficos se habían perdido.

Incluso en el hogar es posible utilizar un disco rígido externo o un pendrive para hacer una copia de seguridad de todo lo que es considerado de valor. Si bien en el ejemplo el incidente ocurre como consecuencia del corte de una intermitencia eléctrica, los factores que pueden provocar la pérdida de información son muchos, y en cualquier caso, haber realizado un backup periódico habría evitado la pérdida de los datos.

Si existe información que no puede perderse, el backup es una solución eficiente para evitar que eso suceda.

Errores comunes a la hora de realizar un backup

Ahora que ya vimos algunos aspectos relacionados a la importancia del backup, a continuación, ofrecemos algunas recomendaciones y repasamos algunos errores comunes que suelen cometerse durante el proceso.

No hacer backup

Ese es sin dudas el error más común. Muchas veces el respaldo no se realiza por negligencia o por creer que la información no era importante, al menos hasta que se perdieron.

Dejar el backup en el mismo equipo en el que estaban los archivos originales

La idea del backup es crear una copia de seguridad. Esta copia debe ser mantenida en un lugar diferente al que contiene los archivos originales. En caso de que estén en el mismo equipo, se perderán tanto los archivos originales como los que fueron respaldados.

No validar la integridad del backup

Realizar un backup involucra una serie de procesos. No es suficiente con solo crear una copia, sino que es necesario verificar los archivos para asegurarse que los datos guardados estarán accesibles en caso de necesidad. Dependiendo de la forma en que el backup fue realizado, que generalmente es un archivo comprimido, el mismo puede corromperse, y en tal caso deberá realizarse un nuevo backup.

No ejecutar el backup periódicamente

Es importante que las copias de seguridad sean realizadas de forma recurrente, principalmente si la información respaldada recibiera constantes actualizaciones. Si, por ejemplo, el backup de un documento de texto en el que se está escribiendo un libro solo se realiza el primer día del mes y 15 días después el archivo se pierde, apenas se habrá conservado una copia de dos semanas de antigüedad y se habrá perdido todo el esfuerzo realizado en la siguiente quincena.

No controlar los archivos del backup

Después de haber realizado una copia de seguridad, mantenga un control de qué archivo pertenece a cada equipo. En caso de que sea necesaria la recuperación de datos es clave que los mismos no sean restaurados en un equipo equivocado.

Abr 23

Artículo: Cómo crear una contraseña fuerte en un minuto y proteger tu identidad digital.

Dispuesto a cambiar esas contraseñas que utilizas fáciles de recordar?

Interesante artículo publicado por welivesecurity:

 

Protegiendo la llave de tu identidad digital

Redes sociales, servicios en la nube, correos o el ingreso a diversos sistemas comparten el mismo mecanismo de seguridad y autenticación. Las contraseñas o claves son la llave de tu identidad digital y la principal manera de resguardar el acceso a estos servicios. Como te imaginarás, no deben ser compartidas.

Una gran cantidad de gente comparte sus claves de acceso

Esta aclaración parece absurda pero hay una gran cantidad de gente que comúnmente comparte sus claves de acceso, poniendo en riesgo no solo su identidad digital sino también la confidencialidad e integridad de la información, que mayormente es volcada en la nube. Basta recordar cómo varios transeúntes decían sus claves en forma voluntaria ante una cámara de televisión, con el objetivo de que les dijeran si eran seguras. Paradójico, ¿verdad?

¿Qué es una clave segura?

Es habitual que en el ámbito de seguridad hablemos de una “clave segura” o una “contraseña fuerte”. Normalmente, se dice que una contraseña es fuerte cuando tiene una considerable extensión y posee símbolos, mayúsculas, minúsculas e inclusive números. Es decir, cuando está fuera del listado de peores contraseñashabituales como “123456” o “password”.

Este esquema intenta mitigar los ataques denominados de fuerza bruta, con los cuales se intenta adivinar la clave probando todas las combinaciones posibles hasta dar con la indicada.

Sin embargo, en la mayoría de servicios actuales en la red, este tipo de ataques ya no es viable, debido a que los proveedores de las aplicaciones bloquean las cuentas luego de unos pocos intentos fallidos; ya sea por captchas o mediante un correo para reactivar las cuentas, el usuario o el atacante que ha ingresado varias claves erróneas no podrá seguir probando.

Esto significa que el clásico ataque de fuerza bruta con herramientas automatizadas, en estos casos, ha quedado en desuso. Podrías pensar entonces que no es necesario que las contraseñas sean extremadamente largas ni con tantas variaciones de símbolos, pero aquí no termina el tema.

Existen otras casos en los que aún es importante generar una contraseña compleja y de un tamaño considerable, por ejemplo, si se desea cifrar o comprimir un archivo con clave, en el caso de escritorios remotos o cuentas de FTP que no contemplen políticas de bloqueos. Otro ejemplo podría ser la clave maestra de un gestor de contraseñas.

Por otro lado, las contraseñas no deben repetirse entre distintas plataformas: la del correo no puede ser la misma que la de una red social. Además, deben ser fáciles de recordar. Para que termines de entender la esencia de todo esto, presta atención a este video que te enseña a crear una contraseña segura en un minuto:

Puedes ver cómo una palabra significativa para ti va transformándose en una frase y haciéndose más robusta. Como te habrás imaginado, dependiendo del escenario y el servicio en cuestión deberás elegir de qué manera generar tu contraseña para que sea funcional y segura.

¿Por qué esto va de la mano con soluciones de seguridad y gestores de contraseñas?

En ocasiones, utilizar contraseñas fuertes no es suficiente porque los ciberdelincuentes prefieren evadir por completo la labor de adivinarlas, y utilizan códigos maliciosos como keyloggers, exploits o diversos RATs para robar las credenciales directamente desde la PC del usuario. De esta forma, utilizar soluciones integrales de seguridad o antivirus ayuda a proteger las claves y privacidad de los sistemas.

Las claves ejercen el control de tu privacidad e identidad digital

Existen varias herramientas para crear y administrar contraseñas, y de seguro habrás escuchado muchas veces hablar de ellas. Se destacan por funcionalidades útiles como la capacidad de importar datos, automatizar claves y ayudarte a crearlas y almacenarlas. LastPass, KeePass, LogMeOnce y 1U Password Manager son algunas de las más conocidas entre las gratuitas, y a menudo se analizan sus funcionalidades para que puedas elegir la que más te agrade.

Por otro lado, se utiliza software adicionando una segunda barrera de seguridad. Estas soluciones ofrecen un segundo factor de autentificación, es decir que además del método clásico de usuario y contraseña, se agrega un factor adicional que permite adicionar un grado más de robustez al proceso de identificación en determinados servicios. Sitios sociales como Facebook, Google, Twitter e inclusive entornos corporativos y financieros permiten la implementación sencilla de estos sistemas de autentificación secundarios, que emiten un código numérico para cada inicio de sesión.

¿Qué hacer si sospechas que han robado tu contraseña?

Debes considerar que aun tomando todos los recaudos, existe la posibilidad de que tu contraseña sea robada. Las causas pueden ser varias: desde que alguien te haya mirado cuando la escribías hasta ataques más avanzadoscomo la captura de tráfico en redes abiertas, un clásico caso de phishing o inclusive ataques a plataformas de uso frecuente como ocurrió con LinkedIn , Yahoo!Sony u otros servicios de mail.

Si la causa fue una brecha de seguridad que dejó al descubierto claves de millones de usuarios, tras el robo, tu información formará parte de un paquete que intentará ser vendido o utilizado con fines maliciosos. Pero no debes entrar en pánico: eso lleva su tiempo y tú puedes cambiar tu clave de inmediato.

Por otra parte, si sospechas que algún código malicioso robó tus credenciales, deberás revisar si tus soluciones de seguridad se encuentran actualizadas y funcionales antes de volver a utilizar ese dispositivo. Haz una exploración y, en lo posible, cambia las contraseñas desde otro dispositivo que sea seguro.

Lamentablemente, si no has seguido el consejo de utilizar una contraseña para cada servicio y la clave es robada, deberás recordar todos los lugares en que la utilizaste para cambiarla a la brevedad.

Como última recomendación, siempre es aconsejable cambiar las contraseñas de manera periódica; de esta forma, si alguien roba tu clave y tú no te enteras o no siquiera lo sospechas, podrás mitigar este riesgo. Aquí es cuando los gestores de contraseñas que nombramos más arriba tienen importancia, porque te ayudan a hacer esto.

Si bien las contraseñas son algo que utilizamos a diario no debemos perder el foco de su importancia y criticidad. No olvides que ellas son las que ejercen el control de tu privacidad, identidad digital e inclusive cuentas financieras, o sea, de tu dinero. ¡Cuídalas!

Abr 23

Artículo: Dispositivos extraíbles en entornos industriales: amenazas y buenas prácticas

Artículo publicado en blog.segu-info.com.ar, en la que nos dan unas pequeñas directrices sobre la utilización de manera controlada de los dispositivos USB en un entorno industrial, extrapolable también a cualquier tipo de empresa y/o organización.

Es algo obvio que los dispositivos extraíbles son un medio indispensable para el traspaso de información de forma rápida y sencilla, cargar nuevas configuraciones, actualizar el firmware de un dispositivo, etc. No obstante, si no tenemos una política rigurosa y llevamos a cabo buenas prácticas para su uso, pueden convertirse en una amenaza en vez de ayudar a prevenirlas. Por este motivo, debemos tener claro cuál es el rol de los USB dentro de SCI, sus ventajas mediante un uso correcto y mejorar sus puntos más débiles para evitar riesgos innecesarios.

Utilización de dispositivos USB en SCI y amenazas por un uso inseguro

Los dispositivos USB extraíbles y las unidades de memoria flash, son muy utilizados en el día a día dentro de los Sistemas de Control, por ese motivo tenemos que tener especial cuidado, ya que son uno de los principales vectores de amenaza en el ámbito de la ciberseguridad. El conflicto surge debido a que las redes industriales son bastante complejas y, además, solemos encontrar gran cantidad de dispositivos que no se encuentran conectados a la red por cuestiones de seguridad, por lo que una de las formas más habituales de acceder a ellos es mediante USB.

Estos medios extraíbles son una forma de simplificar este procedimiento, pero a su vez, conlleva el riesgo de introducir algún malware en estos sistemas o la posibilidad de que sea un BadUSB. Por otra parte, tener una gran variedad de dispositivos de campo hace complicado, sino imposible, la gestión a todos desde una misma aplicación, y se requiere en general el uso de USB para tratar con ellos. También se debe hacer hincapié en que la vida útil de los equipos suele ser bastante larga y se combinan sistemas heredados. Por supuesto, la mayor amenaza que tienen los USB es el personal que maneja los dispositivos de control, ya que son ellos los encargados de manipular estas memorias.

Incidentes provocados por dispositivos USB

Los dispositivos USB son uno de los riesgos o amenazas para SCI más grandes desde hace mucho tiempo. Una determinada cantidad del malware detectado en este entorno ha entrado por vía USB, ya que no se hizo uso de buenas prácticas. Algunos de los incidentes provocados, más conocidos, cuyo vector de ataque fue a través de estos dispositivos, son STUXNET y TRITON.

En general la mayoría del malware que se introduce mediante estos dispositivos suelen ser troyanos, aunque no es el único tipo que nos podemos encontrar. Dentro de los troyanos tenemos varios subtipos como “backdoor”, “bots”, “Droppers”, etc. Otros tipos podrían ser “Adware”, “Rootkits” y gusanos. Todos ellos, son malware que infectan los dispositivos e intentan permanecer ocultos al usuario y de esta forma, obtener información para algún proceso o ejecutar código de manera remota.

Por otra parte, estos dispositivos consiguieron desbaratar la medida de seguridad conocida como Air GAP, consistente en aislar la red deseada para protegerla de manera más eficiente de redes que pudieran ser una amenaza. El problema reside al conectar el USB que contiene el malware a la red que tenemos protegida mediante este aislamiento, ya que esta barrera de seguridad queda totalmente inservible. De esta forma, un atacante podría infectar mediante comandos los dispositivos que vea necesarios. Después de esto, solo tendría que sacar la información obtenida de esta red para que el ataque sea totalmente satisfactorio. Por esta razón, es necesario mejorar el uso de dispositivos USB de manera segura.

Uso seguro de USB

La seguridad de los USB debería incluir controles técnicos y normativos, ya que confiar solo en las actualizaciones no será suficiente para prevenir posibles amenazas.

Aunque está muy generalizado pensar que estos dispositivos son peligrosos y que, en gran medida, van acompañados de algún malware, actualmente sin estos dispositivos no podría ser factible la funcionalidad de las plantas. Por esta razón, si se toman precauciones y se hace un buen uso de ellos, representan un complemento muy útil en el entorno industrial.

Además de contar con una política interna para la utilización de dispositivos USB, hay que implantar buenas prácticas que nos ayudarán a minimizar el riesgo de infección en nuestro entorno:

  • Usar siempre USB corporativos que estén debidamente protegidos y con las medidas de seguridad adecuadas, almacenándolos en lugares apropiados, e informar al departamento responsable si hubiese algún incidente.
  • Controlar los dispositivos externos utilizados dentro de la empresa mediante un inventariado, que incluya un identificador inequívoco para cada uno.
  • No usar dispositivos personales para almacenar información referente a la empresa, en la medida de lo posible. Y si fuese necesario su uso, hacerlo teniendo la autorización de un superior o técnico, cumpliendo las políticas internas referentes al mismo, que debería incluir como mínimo un formateo, cifrado, borrado seguro de los datos y el escaneo previo.
  • Siempre que sea posible, usar los dispositivos en un entorno de prueba para verificar que no contengan ninguna amenaza.
  • Análisis frecuentes de los medios extraíbles mediante antivirus, por prevención.
  • Borrado seguro de la información confidencial, asegurándonos de que nadie podrá recuperar esos datos.
  • Seguridad de puertos USB inmediata y personalizada para redes industriales, obteniendo una mejora en la seguridad y reduciendo la infección de malware u otras amenazas.
  • Actualizaciones de seguridad en curso y continuas para los USB.
  • Mejor visibilidad de la utilización de USB y actividad de amenazas mediante el control de riesgos que podemos obtener, si seguimos una buena política de seguridad.
  • Formación en el uso correcto de este tipo de dispositivos en las empresas a todos los empleados para que sean conscientes de las posibles amenazas, fomentar así el uso seguro y responsable y evitar los riesgos innecesarios.
  • Nunca usar dispositivos de origen desconocidos que se hayan encontrado fuera o dentro de la zona de trabajo.
  • Indispensable la utilización de una herramienta, de la cual hablaremos a continuación, que permita la prevención de riesgos para los USB antes de acceder a las instalaciones.

Kioskos, medida de prevención

Las instalaciones industriales requieren un medio seguro para que no haya infección malware mediante USB o medios extraíbles similares.

Los kioscos son dispositivos que se están empezando a desplegar en el ámbito industrial por su eficacia, al asegurar que los dispositivos extraíbles no tengan ninguna amenaza en su interior. Pueden proporcionar una protección más avanzada para verificar el estado de estos dispositivos extraíbles mediante su funcionamiento. Algunas de sus funcionalidades incluyen:

  • Contención de amenazas mediante blacklist, análisis simultáneos mediante múltiples motores de antivirus.
  • Protección ante BadUSB. Control de dispositivos USB con firmware firmado, bastionado de kioscos, control e inventario de USB, además de control de ordenadores finales.
  • Opción para múltiples dispositivos externos, además de USB.
  • Análisis de los certificados de los ficheros firmados.
  • Opción de un borrado seguro. Se eliminan los datos contenidos en el USB de forma definitiva, sin la posibilidad de poder recuperarlos.
  • Control de uso de kioscos. Se autoriza quién puede usarlos para analizar los dispositivos y llevar un registro de ellos.
  • Mejoramos la seguridad de la planta donde se instala el kiosco al poder combinar su análisis USB con las actualizaciones basadas en la nube para posibles amenazas.
  • Al habilitar diferentes puestos de kioscos, se podrá reducir el riesgo de explotación malware al tener monitorizados y controlados los dispositivos extraíbles en todas las áreas donde sea necesario su despliegue.
  • Control físico e inventariado de dispositivos USB, así como impresión de tickets de autorización para los dispositivos analizados.

Conclusiones

Aunque es cierto que los tipos de amenazas provocadas por medios USB han sido más serias de lo que se pensaba inicialmente, es inevitable que siga habiendo exposición a amenazas para los dispositivos vía USB. Sin embargo, con una política correcta y el seguimiento de unas buenas prácticas de uso de estos dispositivos, se podrá reducir la mayoría de los peligros.

Por otro lado, la utilización de kioscos, una herramienta que se está empezando a implementar cada vez más en la industria, gracias al control de amenazas que proporciona, nos dará una mejor eficacia para el trabajo con USB.

Como siempre la formación, concienciación, prevención y la utilización segura de estos son la clave para evitar un incidente de seguridad debido a un mal uso de los dispositivos.

Aunque se haga un buen uso de este medio, lo mejor siempre será combinar varias medidas de seguridad para que la eficiencia sea más alta. Por este motivo, no tenemos que olvidarnos de otras medidas como la monitorización, el control de zonas y conductos o la gestión de parches, ya que un uso adecuado de todos estos conceptos hará que los Sistemas de Control tengan menos riesgos.

Abr 23

Artículo: Seguridad básica en dispositivos Android

Artículo muy interesante, en la que con unos conceptos bastante claros, podemos reducir drásticamente aplicaciones inseguras en nuestros dispositivos android.

Publicación de globbsecurity:

Los usuarios de Android a menudo nos levantamos con noticias apocalípticas en la prensa especializada, malwares con nombres tenebrosos que invaden el sistema operativo de Google sin que nadie pueda hacer nada por detenerlos… y es que… oír que hay una cosa como “ViperRat” acechando nuestros dispositivos es para ponerle a uno los pelos de punta.

En realidad, si sobrevivimos al infarto que nos pueden provocar los titulares y leemos los artículos detenidamente veremos que en realidad, la noticia suele ser que se han retirado aplicaciones peligrosas o que se ha subsanado un error, no que los teléfonos estén fuera de control como indican los titulares.

Vamos a ver qué hay de cierto, cuál es el peligro real y qué podemos hacer para reducir los riesgos que suponen este tipo de amenazas.

Donde hay malos hay buenos

Además de gente detectando vulnerabilidades para aprovecharlas en su propio beneficio, Google tiene desarrolladores trabajando en subsanarlas, además al tratarse de código abierto, dispone de una comunidad de desarrolladores que también colaboran para mejorar el sistema.

En realidad, la detección de vulnerabilidades no es algo malo, lo realmente peligroso es que las vulnerabilidades existan y no sean detectadas y precisamente ese ha sido siempre uno de los objetivos de las fuentes abiertas, una mayor capacidad de detección de vulnerabilidades a través de una comunidad abierta de desarrolladores.

Aquí entra uno de los problemas de Android, ya que Google solo da soporte para versiones de Android superiores a Marshmallow, todas las versiones inferiores no reciben soporte, lo que deja el 29% de todos los dispositivos sin actualizaciones. Y eso sin contar la cantidad de dispositivos que no reciben actualizaciones del fabricante.

El malware no se instala solo

Cuando hablamos de malware nos vienen imágenes de plagas bíblicas expandiéndose de un dispositivo a otro sin control, pero en realidad, por defecto, un malware no puede instalarse solo en nuestros dispositivos.

Android por defecto solo permite la instalación de fuentes seguras, que suelen ser Google Play y el mercado de aplicaciones del fabricante del teléfono. Hay que tener en cuenta que Google dispone de herramientas de verificación que sirven para detectar vulnerabilidades de forma automática, y que verifican que los paquetes durante el proceso de publicación.

Si desactivamos la opción de requerir fuentes seguras, podremos instalar paquetes descargados de otras páginas, pero perderemos la seguridad que proporciona Google Play y además tendremos que encargarnos de realizar las actualizaciones de forma manual. Esto no quiere decir que los sitios alternativos de descarga de paquetes sean maliciosos o que los paquetes estén alterados, sino que al desactivar la seguridad abrimos la puerta a que paquetes modificados de forma maliciosa o con vulnerabilidades conocidas puedan ser instalados en nuestro dispositivo.

Aunque de algún modo pudiera instalarse, el malware no tendría acceso a datos sensibles

Android hereda el sistema de permisos de Linux y lo complementa con un entorno Sandbox en el que las aplicaciones se ejecutan de forma aislada. Aunque un software malicioso se instalara en el dispositivo, sin los permisos necesarios no sería capaz de acceder a servicios del sistema o a datos.

El usuario medio no revisa los permisos al instalar una aplicación y tampoco suele prestar atención a qué le da permiso cuando está utilizando la aplicación. Recomendamos a los usuarios que accedan a la sección de seguridad de la configuración de sus dispositivos y revisar todos los permisos concedidos. Si hay algún permiso que no quede claro que es necesario para la aplicación siempre podemos retirarlo y comprobar si afecta a su funcionamiento.

Cualquier aplicación que no se use debería ser inmediatamente desinstalada. Las aplicaciones instaladas no solo ocupan recursos del sistema, sino que son susceptibles de tener vulnerabilidades, por lo que es una buena práctica las aplicaciones que no usamos.

Las estadísticas nos apoyan

Cuando se habla de grandes números es normal que un usuario medio pierda la perspectiva, leemos artículos en los que se nos indica que Google ha detectado (y eliminado) decenas de programas sospechosos de Google Play y nos da la impresión de que es un sistema inseguro y plagado de aplicaciones maliciosas, pero perdemos la referencia de que, de media, hay más de tres millones de aplicaciones disponibles en sus bibliotecas. De hecho, las propias estadísticas de Google indican que la probabilidad de descargar software mal intencionado de Google Play es menor del 0,02%, incluso para aquellos que instalan paquetes de fuentes no seguras la probabilidad es del 0,82%.

Revisa tus fuentes

Lamentablemente, muchas de las fuentes citadas para justificar la inseguridad de los dispositivos Android no son imparciales. Dejando al margen la competencia que pueda estar interesada en hacer ver que Android es inseguro, la realidad es que la mayor parte de las fuentes de este tipo de artículos son… ¡sorpresa! Empresas que viven de vender productos de seguridad para Android.

Seguridad básica

Los consejos básicos de seguridad también se aplican a Android, por lo que es recomendable no perderlos nunca de vista. En general, es recomendable que protejamos el dispositivo mediante un código de seguridad, también se puede usar un patrón, pero hay que ser consciente que un patrón simple es fácilmente adivinable por las trazas en la pantalla.

Una vez establezcamos el código de seguridad, lo recomendable es obligar a que se utilice forzando el bloque automático de la pantalla, también es recomendable utilizar la encriptación del almacenamiento que viene con los sistemas Android modernos, de esta forma una pérdida del dispositivo no pondrá en riesgo nuestros datos.

Conectividad

Un dispositivo móvil, al final, lo que hace es mantenernos conectados y esa conectividad es la principal fuente real de inseguridad del dispositivo, la posibilidad de que los datos puedan ser interceptados y usados por terceros es el mayor riesgo al que nos enfrentamos cuando usamos un dispositivo móvil.

Es una buena práctica apagar las conexiones cuando no se están utilizando, hay programas que nos permitirán hacerlo por ubicación o por movimiento o por horario, de lo contrario, nuestro dispositivo estará continuamente intentando conectarse a redes wifi o a dispositivos bluetooth.

Si utilizamos varias redes, por ejemplo, la del trabajo, la de la universidad y sobre todo si utilizamos redes públicas o redes abiertas, es recomendable utilizar una Red Privada Virtual (VPN), esto nos aportará seguridad adicional al encriptar todas las comunicaciones del dispositivo.

Conclusión

Como hemos visto, la fama de inseguridad de Android proviene de parte interesada y está basada más falta de mantenimiento que en la falta seguridad del sistema operativo. Manteniendo nuestros dispositivos actualizados y siguiendo los consejos de este artículo, conseguiremos aumentar la seguridad de los dispositivos.

Abr 22

Artículo: Respuesta incidentes: ya he restaurado los sistemas. ¿Y ahora qué?

Antes que nada os animo a visitar el blog de INCIBE: https://www.incibe.es/protege-tu-empresa/blog

En este artículo se dedica un espacio a la “respuesta a incidentes” más enfocado a la empresa que a un particular.

En este último artículo dedicado a la respuesta a incidentes, analizaremos los pasos que se deben seguir una vez nos hemos recuperado de un incidente.

Si hacemos una recapitulación de los dos artículos anteriores, los puntos tratados son:

Esta última fase de respuesta al incidente la dividiremos en tres procesos de gran importancia que servirán para que no vuelva a suceder un incidente similar y, en caso de que ocurra, estar preparados.

Documentar los detalles del incidente

Documentar todo lo sucedido nos servirá para comprender el incidente y evaluar las acciones tomadas. Con esto podemos aprender de nuestros errores y reforzar las buenas prácticas por si vuelve a ocurrir y para intentar evitarlo en el futuro. En la documentación deberá constar:

  • Descripción del incidente. Hay que indicar en qué fecha y hora se identificó el incidente. Además es conveniente aportar otro tipo de información como:
    • Tipología del incidente: revisar el tipo de incidente que se ha sufrido. Aunque esta acción ya se realizó anteriormente, es necesario volver a estudiarla ya que antes no se contaba con toda la información. En caso de haber sido indicada correctamente, reafirmar la tipología elegida: ransomware, fuga de información, denegación de servicio, etc.
    • Recursos afectados, con qué gravedad y cómo afectó a la empresa. Registra los recursos afectados y en qué medida (por ejemplo por tiempo de inactividad o si hubo que reponerlos). También registra si fue necesario detener servicios, avisar a clientes o proveedores, etc.
    • Qué acciones se tomaron para solventarlo, cuándo se llevaron a cabo y por qué se hizo así.
    • Evidencias recogidas durante todo el proceso, por ejemplo correos recibidos, o ficheros o unidades de disco cifrados.
  • Posible origen. Indicar cuál ha podido ser el origen del incidente en base a todos los pasos de los dos artículos anteriores. También se registrará si ya ha sido resuelto.
  • Personal involucrado. Todas las personas que han participado de un modo u otro en la resolución del incidente deben estar identificadas convenientemente.
  • Fecha y hora de resolución del incidente. Se ha de llevar un registro secuencial de actuaciones.

El proceso de documentación debe comenzar desde que se identifica el incidente de seguridad. Para que la comprensión de toda la documentación generada sea más sencilla, se debe organizar cronológicamente y debe estar firmada por el responsable encargado. En algunos casos, es conveniente que durante todo el proceso un perito informático tome evidencias sobre lo sucedido, ya que de esta manera tendremos garantía de que las pruebas serán tratadas correctamente y serán admisibles en un juicio.

Valorar los daños y costes del incidente

Hay que determinar lo más meticulosamente posible los daños causados por el incidente, ya sean directos como indirectos. De esta manera, podrán ser aportados como pruebas en un juicio de cara a una posible reclamación. Estos costes pueden incluir:

  • reposición de equipos o su software;
  • los daños reputacionales debidos, por ejemplo, a la divulgación de información confidencial;
  • legales;
  • los asociados a la recuperación de la actividad normal y análisis del incidente;
  • los debidos al tiempo de inactividad o lucro cesante.

Revisar las políticas de la empresa: lecciones aprendidas

Una vez concluido todo el proceso, documentado debidamente y cuando la actividad haya vuelto a la normalidad, llegará el momento de recapitular y hacerse varias preguntas:

  • ¿Qué ha fallado para que se produjera el incidente?
  • ¿Qué política de seguridad no ha funcionado?
  • ¿Qué hay que mejorar para que no vuelva a suceder? ¿He informado a los empleados de lo que ha ocurrido? ¿Es necesario formar a los empleados para que sepan cómo actuar en estos casos?
  • ¿La gestión del incidente fue correcta?
  • ¿Qué pasos se pueden mejorar para hacer la gestión del incidente más fluida?
  • En caso de tener que hacer el incidente público, ¿la comunicación con los medios fue correcta y fluida?
  • ¿Se realizó un ejercicio de transparencia con la opinión pública o por el contrario las comunicaciones fueron opacas?
  • Si el incidente afectó a información privada de clientes o proveedores, ¿se realizó la comunicación en tiempo y forma?

 

Gestionar un incidente de manera correcta no se reduce únicamente a restaurar los sistemas y servicios afectados o aplicar las medidas de seguridad necesarias para que no vuelva a suceder. Tan importante es recuperar la actividad cotidiana de la organización como documentar correctamente todo lo sucedido, valorar los daños o revisar las políticas de la empresa. Con estas «lecciones aprendidas» estaremos mejor preparados para detener un incidente similar.

Entradas más antiguas «

» Entradas más recientes