Entradas

Los test de intrusión como elemento preventivo del ciberriesgo

Yo, que no explico las nuevas tecnologías sino aquello para lo que sirven, llevo un tiempo queriendo saber qué es y para qué vale un test de intrusión. Entre tanta noticia sobre ciberseguridad (más bien los fallos de la misma) y con cada vez más hackers explicando y aconsejando sobre cómo prevenir, he decidido escribir algo que responda a mis preguntas y resuelva mis dudas. Así que aprovecho el equipo humano de Binaura Consultores y le lanzo todas las consultas a mi compañero Jorge González Milla, Pentester & Developer con sobrados conocimientos y trayectoria profesional como para impartir un tutorial que despeje cualquier incógnita. Esta es la entrevista construida tras una conversación que espero os resulte tan ilustrativa como interesante. Y útil, si es posible.

Test de intrusión: la clave para saber si sufrirás un ciberataque y por qué (y cómo prevenirlo)

CT: Si tuvieras menos de un minuto para convencerme de que un test de intrusión puede ayudarme en materia de ciberseguridad… ¿cómo me ‘venderías’ este servicio que en Binaura está funcionando tan bien?

Jorge: Te diría que cambies el chip, que en algún momento vas a ser atacada y no por ser pyme o un autónomo van a dejar de atacarte. De hecho, piensa que es mucho más fácil atacar a pymes y autónomos porque no pueden adoptar las mismas medidas de seguridad que, por ejemplo, una gran corporación. Con un test de intrusión sabrías por donde te van a atacar, porque lo van a hacer (si no lo han hecho ya). Y si eres una gran empresa, van a ir a por todo lo que tienes.

CT: Bien, Jorge. Me ha interesado tu planteamiento. Ahora descríbeme algunos beneficios directos e indirectos que pueden derivarse de un test de intrusión.

Jorge: Ahí van (son unos cuantos, ¿eh?)… Para empezar, la empresa puede saber por dónde la van a atacar. Es un método por el que la organización conoce sus vulnerabilidades. Que no quepa duda de que todos seremos atacados en algún momento, y que más vale que usemos controladamente un test de intrusión para descubrir (y arreglar) los agujeros de seguridad, que dejar que lo haga un ciberdelincuente y se aproveche de él. Vamos, que acabe dentro de la empresa haciendo y deshaciendo a su antojo.

Si el test se hace continuado (que es como debería hacerse), la empresa podrá estar siempre al tanto de sus vulnerabilidades, con lo que su marca no quedará dañada por un ataque. Imagina que acceden a tu base de datos y sustraen toda la información…un defacement (alteración provocada por un atacante) a la propia página web de la empresa provocaría desconfianza, tanto en clientes como en inversores.

Además, con esta técnica:

  • Se determina la factibilidad real de un ataque y su impacto en la empresa
  • Eleva la conciencia sobre la seguridad de la información
  • Provee la información necesaria para implementar controles de seguridad (como, por ejemplo, no instalar firewalls a lo loco) y mitigar riesgos. De hecho, supone un ahorro para la organización, al implementar sólo los controles necesarios
  • En algunas ocasiones, un test de intrusión permite descubrir que existen invitados ‘no deseados’ dentro de la red/servidores de la compañía. Ni qué decir tiene que un test de intrusión periódico podría evitar la fuga de datos, evitar incidentes, etc…

En definitiva, la empresa no estaría ‘ciega’ ante un presente/futuro ataque. Además, hay que considerar que la nueva normativa europea de protección de datos será muy estricta a partir del 2018 (entra en vigor en mayo) y si no se cumplen ciertas normas, puede suponer un peligro para la economía. Además de para la marca de la empresa, claro.

Si salen actualizaciones de un producto, hay que actualizar sí o sí

CT: ¿Qué porcentaje de test de intrusión tiene resultados satisfactorios y cuáles son los principales ‘problemas/brechas’ en las empresas sometidas a alguno?

Jorge: Actualmente, la mayoría de test de intrusión que he realizado han tenido resultados satisfactorios. En nuestro caso, que sea así se puede entender de dos formas:

  • Satisfactorio para la empresa: si el resultado es que no se han encontrado apenas vulnerabilidades (que, en mi caso, y supongo que en el de casi el 100% de pentesters no es lo que sucede) quiere decir que la empresa se ha puesto las pilas, enhorabuena, porque no haya muchas.
  • Satisfactorio para el pentester: si el resultado es satisfactorio porque se han hallado muchas vulnerabilidades, hay que hacer un trabajo más en profundidad e instigar a la empresa a solventarlo. Lo que yo he encontrado hasta ahora suele ser este tipo de resultado, que por la parte del pentester es satisfactorio, pero por parte de la empresa no.

Tengo que matizar que los principales problemas que existen están, sobre todo, en quienes manejan las máquinas. Por muchas medidas de seguridad que pongas, el error humano siempre está ahí, así que trabajamos por la concienciación. También existen muchos problemas de falta de parches. Se actualiza poco a las nuevas versiones de los productos que usan las empresas. Si salen actualizaciones, pues hay que actualizar en la medida de lo posible. Esto ahorraría muchos disgustos (como el famoso WannaCry y muchísimas brechas más que se han producido por falta de actualización de productos). Las configuraciones por defecto siguen siendo un problema grave. También las prisas a la hora de administrar los sistemas, ya que esto supone que un servidor/red quede expuesta.

Y hasta aquí lo esencial. Podríamos seguir, sin duda, pero dejémoslo para otro día. En nada os daré a conocer más sobre el perfil de Jorge y sus interesantes y útiles conocimientos para prevenir el ciberriesgo, por ejemplo, en vuestros smartphones. Consejos e información con la garantía de Binaura, por supuesto. También puedes visitar su página http://jmilla.es

 

Ciberseguridad: prevención, soluciones y seguros en la Cámara de Comercio de Mallorca el próximo 22 de junio

¿Están nuestras empresas y negocios a salvo del cibercrimen?. ¿Cómo podemos prevenirlo y qué soluciones tecnológicas están a nuestro alcance para protegernos?… Son sólo algunas de las preguntas a las que se dará respuesta el próximo 22 de junio en la Cámara de Comercio de Mallorca. La institución cameral acogerá, entre las 18.15 y las 20 horas, una sesión sobre la ciberseguridad como el gran reto empresarial del siglo XXI en la que BinauraMonlex colabora y participa.

El evento, organizado por Banca March, reunirá a expertos en ciberseguridad y gestión del ciberriesgo para abordar tanto la evolución como las principales tendencias en una materia cada vez más relevante. Es cierto que todos hemos empezado a asimilar que el cibercrimen ha dejado de ser un concepto difuso para aceptarse como una realidad que, cada vez más, provoca importantísimas pérdidas económicas y daños en la imagen de personas y empresas. Que su impacto (tanto en las formas de ataque como en las consecuencias) no sólo crece exponencialmente, sino que va a seguir aumentando a medida que estemos más conectados. Pero también es verdad que, aunque con toda probabilidad el riesgo cero no existe, quedarse de brazos cruzados no es en absoluto una opción.

Por todos esos motivos, entre otros, la jornada abordará de forma específica las mejores alternativas en las que está trabajando el mercado asegurador, pieza clave en este entorno para los modelos de negocio que quieren abordar con éxito la transformación digital o ya están inmersos en el modelo de Industria 4.0. Objetivo: mitigar un posible ataque.
Junto a nuestro responsable del área de nuevas tecnologías, Xavier Ferretjans, integrarán el panel de ponentes Zane Ryan (director general de Dot Force España) y José Carlos Marcos, responsable de líneas financieras de March JLT. Entre los tres abordarán la prevención y gestión del ciberriesgo, las nuevas fronteras en lo que a protección de identidades y datos se refiere, y las mencionadas soluciones del sector asegurador.

La Cámara de Comercio de Mallorca está ubicada en la calle Estudi General 7 de Palma de Mallorca. Si te interesa asistir no olvides confirmarlo a través de los enlaces disponibles en http://www.cambramallorca.com/ampliar.php?Cod_not=7913
¡Te esperamos!

Un año exacto para la entreda en vigor del reglamento europeo de protección de datos: hacia un marco de ciberseguridad

Gemalto nos invitó a hablar de protección de datos en la era digital todo un reto

Gemalto nos invitó a hablar de protección de datos en la era digital todo un reto

Como multinacional líder en seguridad digital, Gemalto está abanderando una importante campaña de difusión y preparación para la entrada en vigor del RGPD (Reglamento General de Protección de Datos) que prevalecerá en Europa dentro de exactamente un año. Y ese argumento, la necesidad de adaptación a la nueva norma comunitaria, es el que ha propiciado la intervención de BinauraMonlex en el Executive Day 2017 de la compañía, celebrado esta semana en Madrid.

Xavier Ferretjans y Abraham Parrona – el responsable de nuevas tecnologías y seguridad de la información y el experto en protección de datos y responsable de desarrollo de negocio de nuestra división jurídico-tecnológica, respectivamente – fueron los encargados de la ponencia “Hacia un marco de ciberseguridad: el RGPD y sus novedades” presentada durante la jornada. En la exposición se abordó el panorama jurídico que se refiere a una materia tan sensible con esa protección de datos y la legitimación de su tratamiento que, a partir del 25 de mayo de 2018, afectará a las relaciones contractuales, los intereses vitales, la obligación legal para el responsable del tratamiento de esos datos, el interés público y, de forma expresa, el concepto de “consentimiento inequívoco” por parte quien aporta sus datos con alguna finalidad.

Se destacaron también los derechos ARCO de acceso, rectificación, cancelación y oposición que contemplarán en todo el territorio de la UE, en palabras de Ferretjans, “el derecho de supresión, a la portabilidad de los datos y a la limitación temporal de los mismos”. El reglamento implicará también pasar de un modo pasivo a otro proactivo (responsabilidad activa, de hecho) en lo que al análisis de riesgos se refiere. “La privacidad – explicó Ferretjans – será por diseño: debe ser incorporada por defecto en el momento del tratamiento de datos. Para las brechas de seguridad se exige la notificación en un máximo de 72 horas, la valoración del riesgo de quiebra y el denominado estado de alerta”.

Xavier Ferretjans explicando las novedades del RGPD ante los expertos en seguridad digital

Xavier Ferretjans explicando las novedades del RGPD ante los expertos en seguridad digital reunidos por Gemalto

En las cuestiones que se refieren al marco de ciberseguridad que plantea la normativa comunitaria, el artículo 32 se extiende sobre la seguridad del tratamiento de los datos “con medidas organizativas (roles y responsabilidades, seguridad en los RRHH o gestión de incidencias, entre otras) y tecnológicas”. Entre estas últimas, los expertos de BinauraMonlex destacan aspectos relacionados con el control de accesos y autentificación, la monitorización, la seguridad perimetral y los test de intrusión. Pero sobre todo “la necesidad de backups, cifrado y seguridad móvil en todo lo relativo a los datos que manejan nuestras empresas y organismos”.

Para acabar, y no menos importante, esta vez sí se prevén sanciones que pueden llegar a ser muy importantes: multas de 10.000.000€ máximo (o 2% del volumen de negocio anual global del ejercicio anterior) y de hasta 20.000.000€ máximo (o el 4% del volumen de negocio anual, el doble que en el caso anterior también en este porcentaje).

El selfie volando era imposible, así que ahí va el de antes de la caída libre

El selfie volando era imposible, así que ahí va el de antes de la caída libre

Confiamos en que la aportación fuera interesante para los asistentes a una sesión de trabajo que concluyó con una experiencia inolvidable: un espectacular vuelo en caída libre en el mayor simulador de viento de Europa, instalado en el MadridFly.

Si te ha gustado este artículo ¡compártelo!. Con tu difusión generamos cultura de ciberseguridad.

BinauraMonlex lleva la ciberseguridad y la protección de datos a los Graduados Sociales

  • El Colegio Oficial de este colectivo profesional, con su presidenta Emilia Goyanes al frente, acogió la conferencia sobre cómo actúan los hackers y qué consecuencias puede tener un ataque en pequeñas y medianas empresas
  • ¾ partes de los ciberataques tienen a las pymes como objetivo. Casi la mitad de ellas paga rescate por recuperar sus datos tras un secuestro con ransomware
Emilia Goyanes, Xavier Ferretjans y Abraham Parrona, en el Colegio Oficial de Graduados Sociales

Emilia Goyanes, Xavier Ferretjans y Abraham Parrona, en el Colegio Oficial de Graduados Sociales

Quien más quien menos ya ha asimilado que el cibercrimen ha dejado de ser un concepto difuso para aceptarse como una realidad que, cada vez más, provoca pérdidas económicas y daños a la imagen de personas y empresas. Su impacto (tanto en formas de ataque como en consecuencias) no sólo crece exponencialmente, sino que va a seguir aumentando a medida que estemos más conectados. Probablemente el riesgo cero no exista, pero quedarse de brazos cruzados no es una opción…

Esa es la breve introducción con la que BinauraMonlex se acaba de presentar ante los Graduados Sociales, con una charla coorganizada por la Fundación y el Colegio Oficial de estos profesionales y en la que su presidenta, Emilia Goyanes, actuó de anfitriona. Nuestro responsable de nuevas tecnologías y seguridad de la información ayudó a los Graduados Sociales asistentes a conocer la evolución de las agresiones tecnológicas más relevantes: desde los virus de los años 70 del siglo pasado (cuando Internet aún no se había desarrollado y lo más parecido a la red era la primigenia Arpanet) hasta los primeros hackers de los 90 obsesionados más por exhibir sus capacidades que por dañar realmente un sistema, los gusanos y troyanos de principios del siglo XXI seguidos de los malware lucrativos y, desde 2015, los ya famosos ransomware que van a seguir dando muchos dolores de cabeza. El equivalente a lo ‘robado’ por este método en todo el mundo durante 2016 fue de mil millones de dólares.

Xavier Ferretjans explicó que “los expertos calculan que al menos en los próximos años son precisamente estos malintencionados programas informáticos los que habrá que seguir combatiendo desde varios frentes, ya que han demostrado ser muy eficaces a la hora de conseguir dinero secuestrando información”. Lo que es innegable, aseguró Ferretjans, es que “los secuestros informáticos hacen estragos, sobre todo por el desconocimiento de los destinatarios del ataque, las brechas de seguridad en las empresas y la falta de una auténtica cultura de la prevención en las organizaciones”. Dicho de otra forma, falta mucha formación, ya que “aunque en el mercado hay ya un antivirus bastante eficaz para detectar el sansomware (y no siempre puede hacerlo), permitiendo volver a la situación previa a la infección que encripta y secuestra nuestros datos, hay colectivos (tanto particulares, como autónomos y Pymes) que se creen que no son interesantes para los ciberdelincuentes y no se preparan para combatirlos”.

Grave error. Esa confianza, fruto del desconocimiento en el mejor de los casos, provoca que el 71% de los ciberataques -nada menos que ¾ partes de los que se producen- tienen como objetivo a pequeñas y medianas empresas. Casi la mitad de ellas, en el caso de ransomware, pagan el rescate. En opinión de Ferretjans “que se ataque solo a las grandes corporaciones es un mito, en realidad se busca a otras más modestas, menos preparadas y con menos inversión en ciberseguridad y prevención”.

Tanto el responsable de nuevas tecnologías y seguridad de la información de BinauraMonlex como el de desarrollo de negocio, Abraham Parrona, recordaron a los Graduados Sociales que su colectivo profesional es uno de los que más información sensible maneja, al disponer de datos y autorizaciones oficiales que deben preservarse en la más absoluta confidencialidad. Por ese motivo, desde la consultora jurídico tecnológica se les recomendó “prestar especial atención tanto a la seguridad con la que van a proteger sus dispositivos como al nuevo reglamento europeo de protección de datos “. Precisamente la normativa, de obligado cumplimiento a partir del año que viene, está muy enfocada a la ciberseguridad y no solo va a provocar un cambio de chip en cuanto a prevención y gestión de la información de clientes que manejamos, sino que por primera vez va a aplicar sanciones muy importantes por incumplir sus disposiciones.

Si te ha gustado este contenido, compártelo en tus redes sociales. ¡Ayúdanos a generar cibercultura!

 

BinauraMonlex publica en Economía de Mallorca

A continuación os dejamos el artículo publicado por Xavier Ferretjans en ECONOMÍA DE MALLORCA. Os dejamos también el enlace para que podáis leer otras noticias de esta gran publicación digital:

El ser humano tiende a utilizar los nuevos descubrimientos de forma apasionada, caótica y exagerada. Un buen ejemplo lo podemos encontrar en las nuevas tecnologías, en concreto el ciberespacio. Un ejemplo de gran actualidad es la fiebre desatada con la aplicación Pokemon Go, cuya explosión en los medios digitales ha sido imprevista y el éxito de usuarios ha batido records. Perfecto, el juego es divertido y propone una visión de la realidad aumentada excelente. Todo ello gratis… ¿He dicho gratis?.

Desgraciadamente no hay nada gratuito en el mundo de los negocios. Nintendo y sus filiales tienen una auténtica mina de oro en lo que a Big Data respecta. Todos los movimientos realizados por los usuarios, sus costumbres de búsqueda, conexión con otros usuarios, horarios de mayor actividad, recorridos realizados y un sinfín de datos son explotados por sus creadores, eso sí, de forma silenciosa.
Twitter, WhatsApp, Facebook y múltiples aplicaciones de Google, Microsoft y Apple nos conquistan con sus cantos de sirena y generan necesidades que no teníamos ni idea de albergar. Todo a cambio de un módico precio que es toda tu vida digital.

Es posible que ahora no nos demos por aludidos, ni veamos las consecuencias de todo este torrente de información que segundo a segundo remitimos a corporaciones. “No tengo nada que esconder”, “ ¿¡Qué importancia tienen mis fotos personales!?” son los comentarios más comunes cuando abordas este tema, tanto entre amigos como con compañeros de trabajo o cualquier otro entorno social.
Pero en distintos foros de expertos sobre la ciberseguridad y hacking, se insiste ya en que la información que manejan las empresas y gobiernos no se utiliza en tiempo real, inmediatamente, sino que pueden usarse (probablemente en nuestra contra) en el momento más oportuno. O bien manipularnos de las formas más sutiles.
Lo intangible del ciberespacio hace que no veamos sus auténticos peligros, como el robo de tarjetas de crédito, o la utilización fraudulenta de nuestra información personal con fines que ni podemos intuir.
Ya lo dice el tema Virtual Insanity del grandioso grupo Jamiroquai (bueno, para mi lo es): el futuro está hecho de demencia virtual y es hora de que empecemos a ver lo digital como algo tremendamente real. No perdamos la cabeza.

http://economiademallorca.com/not/8172/virtual-insanity/