10 consejos para resguardar datos de manera efectiva

Proteger la información es crucial para mitigar daños ante un ataque u otras situaciones que pongan en riesgo la información de una empresa. 10 consejos para tener una buena política de resguardo de información.

Ecuador – ¿Podría sobrevivir una empresa si los datos más críticos fueran repentinamente cifrados por ciberdelincuentes? Muchas organizaciones se ven ante esta situación como consecuencia de ataques ransomware, y otros ciberataques, que implican numerosos riesgos para las empresas. Se advierte que es necesario contar con un plan de contingencia y mitigación, y una buena ciberhigiene del entorno coorporativo.

“Tener una copia de seguridad de los datos lista para restaurar es una red de contención que muchos no tienen en cuenta hasta que es demasiado tarde. Incluso aquellos que disponen de copias de seguridad pueden gestionarlas erróneamente y exponer la organización a riesgos; las copias de seguridad también pueden ser un objetivo del ataque. El ransomware hizo quizás más por la concientización sobre las copias de seguridad de los datos que cualquier otra ciberamenaza. La conciencia sobre este malware diseñado para cifrar todos los datos corporativos -incluidas las copias de seguridad conectadas- llevó a las empresas a invertir en medidas de mitigación.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para comenzar, desde ESET destacan que es importante considerar los riesgos que las copias de seguridad pueden ayudar a mitigar:

  • Ataques destructivos de extorsión de datos, en parte impulsados por el ecosistema del cibercrimen como servicio, en el que los datos se exfiltran y las unidades se cifran antes de pedir un rescate. El Informe de Amenazas de ESET de septiembre a diciembre de 2022 encontró el uso de tácticas cada vez más destructivas, como el despliegue de wipers que imitan el ransomware y cifran los datos de la víctima sin intención de proporcionar la clave de descifrado.

  • El borrado accidental de datos, especialmente cuando los datos sensibles se guardan en dispositivos personales de los que no se hacen copias de seguridad. Estos dispositivos también pueden perderse o ser robados.

  • Amenazas físicas: inundaciones, incendios y otras catástrofes naturales pueden dejar fuera de servicio oficinas y centros de datos, por lo que es doblemente importante almacenar una copia separada de los datos sensibles en otra ubicación geográfica.

  • Los requisitos de cumplimiento y auditoría cada vez más onerosos. No presentar la información que se exige puede acarrear multas y otras medidas punitivas.

Para alcanzar el éxito a la hora de planear una estrategia de copia de seguridad, ESET comparte 10 puntos:

  1. Desarrollar una estrategia: Parece obvio, pero merece la pena planificar con cuidado para garantizar que cualquier estrategia de copia de seguridad cumple los requisitos de la organización. Considerarlo como parte de su planificación de recuperación ante desastres/continuidad de negocio. Tener en cuenta aspectos como el riesgo y el impacto de la pérdida de datos y los objetivos de restauración.

  1. Identificar de qué datos se necesita hacer una copia de seguridad: Identificar y clasificar los datos es un primer paso fundamental en el proceso. No todos los datos se consideran lo suficientemente críticos como para justificar una copia de seguridad y deben clasificarse de acuerdo a su impacto potencial en la empresa si no están disponibles.

  1. Seguir la regla 3-2-1: Se trata de hacer tres copias de los datos, en dos soportes diferentes, con una copia almacenada fuera de las instalaciones y sin conexión. Esto último es especialmente importante, ya que el ransomware a menudo busca los datos de las copias de seguridad y los cifra también, si están en la misma red.

  1. Cifrar y proteger las copias de seguridad: Dado que las amenazas también buscan copias de seguridad de los datos para extorsionar, merece la pena mantenerlas encriptadas, para que no puedan monetizar los datos almacenados. Esto suma una capa extra de defensa a la regla 3-2-1 (al menos 3 copias, 2 tipos diferentes de almacenamiento, 1 copia fuera del sitio).

  1. No olvidar los datos en la nube (SaaS): Una gran cantidad de datos corporativos reside ahora en aplicaciones de software como servicio (SaaS). Esto puede proporcionar una falsa sensación de seguridad. Añadir una capa adicional de protección, haciendo también copias de seguridad de esta información, puede ser útil.

  1. Comprobar regularmente las copias de seguridad: De nada sirve tener una copia de seguridad de los datos de una empresa si no se restaura correctamente cuando se solicita. Por eso se deben probarlas con regularidad para asegurarse de que los datos se guardan correctamente y se pueden recuperar como es debido.

  1. Realizar copias de seguridad a intervalos regulares: Del mismo modo, una copia de seguridad tiene una utilidad limitada si se restaura a un punto demasiado lejano en el tiempo. La periodicidad exacta de las copias de seguridad dependerá del tipo de negocio. Una tienda online con mucho movimiento requerirá copias de seguridad casi continuas, pero un estudio de abogados pequeño puede conformarse con algo menos frecuente.

  1. Elegir con cuidado un socio tecnológico: No hay dos empresas iguales. Pero hay ciertas características que conviene tener en cuenta: la compatibilidad con los sistemas existentes, la facilidad de uso, la flexibilidad de horarios y la previsibilidad de los costos ocupan un lugar destacado. Dependiendo del tamaño y la expectativa de crecimiento de la empresa, puede ser importante considerar la escalabilidad.

  1. No olvidar los dispositivos endpoint: No hay que olvidar la gran cantidad de datos que pueden residir en los dispositivos de los usuarios, como ordenadores portátiles y teléfonos inteligentes. Todos deben incluirse en una política/estrategia corporativa de copias de seguridad.

  1. Más allá de las copias de seguridad: No olvidar que las copias de seguridad son solo una pieza del rompecabezas. Se deberían complementar con herramientas de seguridad en el endpoint, la red y el servidor/nube, herramientas de detección y respuesta, y más. También seguir buenas prácticas de ciberhigiene, como la aplicación continua de parches, la gestión de contraseñas y la respuesta a incidentes.

Fuente: Departamento de Comunicación ESET Ecuador

 

Phishing: 10 cosas para hacer inmediatamente si cliqueaste en un enlace falso

Te damos consejos útiles para actuar rápidamente si has detectado que mordiste el anzuelo, y fuiste víctima de un correo electrónico de phishing. 10 cosas que puedes hacer inmediatamente para minimizar el daño.

Las faltas de ortografía, la gramática extraña, el lenguaje urgente o amenazador, la falta de contexto… todos ellos son indicios comunes de los ataques de phishing. Sin embargo, algunas amenazas de phishing son más difíciles de detectar, ya que implican una importante inversión de tiempo y una planificación meticulosa por parte de los atacantes, que incluso examinan las comunicaciones anteriores del objetivo, lo que en última instancia hace que el ataque sea muy convincente y tenga éxito.

Una táctica popular utilizada por los estafadores en campañas fraudulentas a gran escala consiste en explotar acontecimientos de actualidad. Por ejemplo, lo que parecía un correo electrónico del Servicio Nacional de Salud del Reino Unido para ofrecer una prueba gratuita de COVID-19 era, en realidad, una forma de obtener los datos personales de las víctimas a través de un formulario falso.

Solo se tarda unos instantes en ser víctima de una estafa y ni siquiera los profesionales informáticos están exentos de este riesgo. Simplemente, recibes un mensaje de correo electrónico aparentemente inofensivo que contiene un enlace en el que debes hacer clic “antes de que sea demasiado tarde”. Pero, ¿y si, justo después de hacerlo, te invade una sensación de inquietud y te das cuenta de que todo era una estafa? 

¿Qué debe hacer ahora?

Aquí algunos consejos sobre qué hacer después de haber mordido el anzuelo.

  • No des más información

Supongamos que recibiste un correo electrónico de una tienda online que, aunque te generó algunas sospechas, hiciste clic en el enlace adjunto sin pensarlo demasiado, o por curiosidad, y aunque te lleva a un sitio web que parece legítimo, sigues dudando.

Lo más sencillo es abstenerse de compartir información adicional: no introducir credenciales ni facilitar datos bancarios u otros de igual sensibilidad. Si los estafadores solo querían tus datos y no comprometieron tu dispositivo con malware, lo más probable es que puedas esquivar el anzuelo, o zafarte de él.

  • Desconecta tu dispositivo de Internet

Algunos ataques de phishing pueden hacer que les des acceso a tu computadora, teléfono móvil u otro dispositivo. Pueden desplegar malware, recopilar información tuya y de tu dispositivo, u obtener el control remoto.

Para mitigar los daños, es imprescindible actuar con rapidez. Lo primero que debes hacer es desconectar el dispositivo de internet. Si utilizas un PC con conexión por cable, simplemente desenchúfalo. Si estás conectado a través de Wi-Fi, desactiva esa conexión en los ajustes del dispositivo o activa la función modo avión.

  • Haz una copia de seguridad de tus datos

Desconectarse de Internet evitará que se envíen más datos al servidor malicioso, pero tus datos siguen estando en peligro. Deberías hacer una copia de seguridad de tus archivos, principalmente de los documentos sensibles o de aquellos archivos con un alto valor personal, como fotos y vídeos.

Hacer una copia de seguridad de tus datos después de haber sido comprometidos puede ser arriesgado, ya que es posible que ya hayan sido comprometidos por el malware.

En lugar de eso, deberías hacer copias de seguridad de tus archivos de forma regular y preventiva. Si el malware afecta a tu dispositivo, puedes recuperar tus datos desde un disco duro externo, una memoria USB o un servicio de almacenamiento en la nube.

  • Realiza un análisis en busca de malware y otras amenazas

Realiza un análisis completo de tu dispositivo con un software antimalware de un proveedor de confianza, mientras el dispositivo está desconectado de Internet.

Lo ideal sería ejecutar un segundo escaneado utilizando, por ejemplo, el escáner gratuito en línea de ESET. Descarga el escáner en el ordenador o en un dispositivo independiente, como un disco duro USB, que puedas insertar en el ordenador infectado e instalar el software desde allí.

No uses el dispositivo durante el escaneado y espera los resultados. Si el escáner encuentra archivos sospechosos, seguí sus instrucciones para eliminarlos.

Si el proceso de escaneado no encuentra ningún riesgo potencial, pero sigues teniendo dudas, ponte en contacto con tu proveedor de seguridad. 

  • Considera un restablecimiento de fábrica

Restablecer los valores de fábrica significa devolver el teléfono a su estado original eliminando todas las aplicaciones y archivos instalados. Sin embargo, algunos tipos de malware pueden persistir en el dispositivo incluso después de un restablecimiento completo, de todas formas, lo más probable es que al borrar el dispositivo móvil o el ordenador se elimine con éxito cualquier amenaza. Recuerda que un restablecimiento de fábrica es irreversible y borrará todos los datos almacenados localmente. Nunca se insistirá lo suficiente en la importancia de realizar copias de seguridad periódicas.

  • Restablezca sus contraseñas

Los correos electrónicos de phishing pueden engañarte para que divulgues tus datos confidenciales, como números de identificación, datos bancarios y de tarjetas de crédito o credenciales de inicio de sesión. 

Si crees que este es el caso, sobre todo si los correos electrónicos de phishing te piden que facilites un nombre de usuario específico —por ejemplo, con una estafa con temática de LinkedIn-, deberías cambiar inmediatamente tus credenciales de inicio de sesión, muchos más si reciclas la misma contraseña en varias cuentas como tu correo electrónico, banca online y/o redes sociales.

Estas situaciones ponen de relieve la importancia de utilizar nombres de usuario y contraseñas únicos para los distintos servicios en línea. Usar las mismas credenciales en varias cuentas facilita a los atacantes el robo de datos personales o dinero.

  • Ponte en contacto con bancos, autoridades y proveedores de servicios

Si proporcionaste datos bancarios o de su tarjeta de crédito o los datos de acceso a un sitio web con acceso a tus tarjetas, comunícate inmediatamente con la entidad que las proporciona. Ellos podrán bloquear tu tarjeta o congelarla para prevenir futuros fraudes, y así minimizas el daño financiero. Consulta si tu banco (o servicios de pago) tiene una política de reembolso para víctimas de estafas.

Para evitar que otras personas caigan en esta estafa, avisa también a las autoridades locales. 

  • Detecta las diferencias

Cuando los delincuentes consiguen entrar en uno de sus dispositivos o cuentas, es posible que cambien tus datos de acceso, direcciones de correo electrónico, números de teléfono o cualquier cosa que pueda ayudarles a afianzarse en su cuenta y apoderarse de ella por más tiempo.

Revisa tu actividad en las redes sociales, la información bancaria y el historial de pedidos de sus compras en línea. Si, por ejemplo, detectas algún pago que te parezca raro, desconocido o no autorizado, denúncialo, cambia tus credenciales de inicio de sesión y, si es el caso, solicita un reembolso.

  • Busca dispositivos no reconocidos

Si los piratas informáticos robaron los datos de tu cuenta, es probable que intenten iniciar sesión desde su propio dispositivo. La mayoría de las plataformas de redes sociales guardan un registro de tus sesiones iniciadas en la configuración de privacidad. Haz esa comprobación y fuerza el cierre de sesión en cualquier dispositivo que desconozcas.

  • Notifica a tus amigos, contactos, proveedores de servicios y empleador

A veces, los estafadores utilizan tu lista de contactos en una cuenta comprometida para difundir enlaces de phishing o spam. Tenlo en cuenta y toma medidas para evitar que otros caigan en la misma estafa.

Si un ciberataque está relacionado con cuentas de trabajo o dispositivos proporcionados por tu empresa, sigue las normas e informa inmediatamente al departamento de TI. Los principales servicios de correo electrónico, como Outlook o Gmail, también ofrecen herramientas para informar de correos electrónicos de phishing directamente desde su bandeja de entrada.

Reflexiones finales

Morder el anzuelo y hacer clic en un enlace de phishing puede hacerte sentir avergonzado, e incluso alarmado, pero este tipo de amenaza es cada vez más frecuente. De hecho, le ocurre a cientos de miles de personas cada año solo en Estados Unidos, y las cifras van en aumento. Si mantienes la calma y sigues los consejos anteriores, estarás un paso por delante de las amenazas a las que podrías enfrentarte.

Fuente: www.welivesecurity.com

 

Consejos de ciberseguridad para trabajadores independientes: cómo estar protegido sin un equipo de IT

Los riesgos más comunes y cómo desarrollar la resiliencia es clave al momento de lidiar con un incidente de seguridad.

Quito, Ecuador – Una de las principales motivaciones de los ciberdelincuentes es ganar dinero. En general, pueden extorsionar y robar más dinero de las empresas (por pequeñas que sean), aunque las personas no están exentas de sus amenazas. Los actores maliciosos también son en gran medida oportunistas, lo que significa que buscan la ruta más fácil: cuentas en línea que no están debidamente protegidas, dispositivos que no tienen instalado un software de seguridad o computadoras que no ejecutan el último sistema operativo, navegador y otras versiones de software.

Esto es particularmente grave cuando se trata del riesgo cibernético al que se enfrentan comerciantes o trabajadores independientes. Si tiene un negocio propio, comprender dónde están los riesgos y cómo desarrollar la resiliencia es clave. ESET, compañía líder en detección proactiva de amenazas, comparte consejos de ciberseguridad para trabajadores independientes y cómo estar protegido sin un equipo de IT.

El impacto para los profesionales independientes

“Los desafíos para quienes trabajan de manera particular no son solo los limitados recursos tecnológicos. Podría decirse que el mayor impacto es el daño a la reputación del profesional autónomo y las consecuencias financieras. La recuperación en ambos escenarios es más difícil. Todo esto sin mencionar la pérdida de productividad. El tiempo que el propietario de una empresa que trabaja por cuenta propia tiene que dedicar a limpiar su infraestructura tecnológica después de sufrir un ataque, es tiempo que no puede dedicar a atender a sus clientes.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Hay pocos datos disponibles públicamente sobre el volumen de filtraciones que afectan a los trabajadores independientes. Sin embargo, es lógico pensar que con menos recursos y con poco o ningún soporte de un equipo de IT interno, se está más expuestos a las ciberamenazas. Desde ESET advierten cómo los siguientes escenarios comunes que podrían afectar un negocio:

  • Un ataque de ransomware que bloquea archivos, incluido cualquier almacenamiento en la nube sincronizado.

  • Un ataque en el que los cibercriminales roban y amenazan con filtrar archivos confidenciales y/o venderlos en la dark web. Esto podría incluir información personal identificable (PII, por sus siglas en inglés).

  • Ataques que buscan tomar el control de cuentas a través del robo de contraseñas o mediante técnicas de “fuerza bruta“. Las cuentas secuestradas podrían usarse posteriormente en ataques de phishing a clientes o incluso en estafas del tipo BEC (siglas en inglés de compromiso de cuentas de correo electrónico de empresas).

  • Un ataque o infección con malware diseñado para recolectar credenciales de inicio de sesión de la cuenta bancaria corporativa para drenar sus fondos.

En Reino Unido, por ejemplo, reportes indican que son muy pocas las microempresas que cuentan con una estrategia de seguridad formal. Sin embargo, el costo promedio de las brechas de seguridad durante los 12 meses anteriores fue de más de £3000 (US$ 3740), una cifra que podría tener un impacto significativo en empresas de este tamaño. Es por eso que los profesionales independientes deben tomarse un tiempo para comprender bien los conceptos básicos de seguridad. ESET comparte las siguientes medidas preventivas:

  • Realizar copias de seguridad (backup) de los datos críticos del negocio: Esto significa que primero se debe determinar qué es lo suficientemente importante para realizar una copia de seguridad y luego elegir una solución en la cual realizar la copia de seguridad. El almacenamiento en la nube (es decir, OneDrive, Google Drive) es una opción útil, ya que las copias de seguridad son automáticas y no es necesario realizar una inversión inicial en hardware. La mayoría de los proveedores de este tipo de servicios tienen la capacidad de restaurar desde versiones anteriores, incluso si el ransomware se propaga a los datos de la nube. Sin embargo, para mayor tranquilidad, también puede valer la pena hacer una copia de seguridad en un disco duro extraíble y asegurarse de mantenerlo desconectado de Internet que sea necesario.

  • Instalar un software antimalware: elegir un producto de un proveedor de confianza y asegurarse de que todas las computadoras, smartphones y demás dispositivos conectados estén protegidos. Asegurarse de mantener activadas las actualizaciones automáticas para que siempre se ejecute la última versión.

  • Mantener todas las computadoras y dispositivos actualizados: asegurarse de que todos los sistemas operativos y software instalado estén corriendo la última versión y que tengan activada las actualizaciones automáticas. Esto significa que se corregirán mediante parches fallos de seguridad recientemente descubiertos que pueden ser aprovechadas por cibercriminales.

  • Mantener las cuentas seguras: usas solo contraseñas seguras y únicas, utilizar un administrador de contraseñas para gestionarlas, y activar la autenticación en dos pasos en cada plataforma o servicio que utilice (redes sociales, correo electrónico, almacenamiento en la nube, router, etc.). Esto reducirá el riesgo de phishing, ataques de fuerza bruta, de diccionario y otros tipos de ataques.

  • Proteger sus dispositivos móviles: mantener todo el software actualizado, instalar un software de seguridad y no descargar ninguna aplicación de tiendas de aplicaciones no oficiales. Asegurarse de que los dispositivos estén bloqueados con un código de acceso seguro o un método de autenticación biométrica sólido, que se puedan rastrear y borrar de forma remota en caso de pérdida o robo.

  • Crear un plan para cuando las cosas puedan salir mal: este “plan de respuesta a incidentes” no necesita ser exhaustivo. Solo tener en cuenta en qué servicios de IT se basa la empresa y tener una lista de contactos para saber con quién comunicarse en caso de que ocurra algo. Esto acelerará los tiempos de recuperación. Tener a mano una copia en papel del plan en caso de que los sistemas tengan que ser desconectados por la fuerza.

  • Poner a prueba la resiliencia. Esta práctica consiste en realizar ejercicios como los que propone el Centro Nacional de Seguridad Cibernética y Cyber Aware, para conocer la postura de seguridad.

Por último, hay que recordar que la conciencia y la educación son clave. Aprender y poner en práctica estos consejos permitirán a su negocio estar fuera del alcance de atacantes oportunistas.

Fuente: www.eset.com

9 errores de seguridad frecuentes y cómo evitarlos

Se advierte no exponer la seguridad en Internet por cometer alguno de los siguientes errores.

Quito, Ecuador – Comprar, transmitir contenido de video, administrar cuentas bancarias, socializar con amigos y familiares, compartir fotos, hacer seguimiento de nuestro estado físico e incluso hoy en día hasta hablar con especialistas médicos a través de una gama de aplicaciones innovadoras y fáciles de usar. Todo esto a través de una variedad de dispositivos, desde una PC doméstica hasta tabletas, teléfonos inteligentes y dispositivos portátiles inteligentes. Un estudio estimó que en Reino Unido se pasan un promedio de cinco horas diarias en conexión a las pantallas, sin incluir el tiempo de trabajo. Además, encontró que las personas de 16 a 24 años pasan más de 2,500 horas al año solo en Instagram.

ESET, advierte que todo esto tiene implicaciones para la seguridad. A medida que aumenta el número de contraseñas, dispositivos y cuentas, nuestra capacidad para realizar un seguimiento de todos estos activos digitales disminuye. En ocasiones terminamos recurriendo a soluciones rápidas pero poco seguras, como reutilizar contraseñas, lo cual solo empeora las cosas. Otros incluso pueden ignorar las advertencias de seguridad por completo sin que esto les importe.

En el trabajo, el error humano es responsable de aproximadamente el 82% de todas las filtraciones de datos corporativos. Pero la misma complacencia y falta de conocimientos de seguridad también puede tener consecuencias en nuestra vida personal, poniendo en riesgo nuestros datos y dispositivos. Una investigación descubrió 24 mil millones de combinaciones robadas de nombre de usuario/contraseña circulando en los mercados clandestinos de la dark web en 2022. En resumen, debemos mejorar la gestión de los riesgos de seguridad, y eso comienza con la comprensión y mitigación de los impactos más comunes del error humano.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Los principales errores de seguridad digital a evitar son:

1. Hacer clic en enlaces y abrir archivos adjuntos en mensajes no solicitados: También conocidas como phishing, estas misivas pueden viajar por correo electrónico, mensajes de texto, redes sociales o servicios de mensajería como WhatsApp. Por lo general, falsificarán a un remitente legítimo como un banco y requerirán una respuesta urgente del destinatario. Estos mensajes generalmente conducirán a una descarga encubierta de malware, o de lo contrario buscarán que la potencial víctima entregue información personal confidencial y posiblemente financiera. Siempre mantenerse escéptico de los mensajes no solicitados y no hacer clic en enlaces ni abrir archivos adjuntos en ellos. Ante la duda, contactar por otro medio al remitente y consultar si el mensaje que se recibió es legítimo.

2. Omitir actualizaciones: Mantener actualizada la computadora y el resto de los dispositivos que se utilizan es fundamental para la seguridad. A través de las actualizaciones los fabricantes lanzan parches para corregir una vulnerabilidad de seguridad específica que los cibercriminales aprovechan para atacar dispositivos y cuentas. Vale la pena tener activadas las actualizaciones automáticas para el sistema operativo, navegadores, aplicaciones y software instalado.

3. Conectar dispositivos USB de terceros: Los medios extraíbles pueden no ser tan populares como lo fueron hace varios años. Después de todo, aumentó considerablemente el almacenamiento en la nube para transferir datos. Sin embargo, todavía puede ser un transmisor eficaz de malware si se conecta a una máquina. Para empezar, nunca conectar a un equipo una memoria USB que no sea de tu propiedad.

4. Uso y reutilización de contraseñas débiles: Es uno de los errores de seguridad más comunes que cometen los usuarios. Las contraseñas débiles son cortas y fáciles de adivinar o descifrar para los cibercriminales. Con esta información, los atacantes intentarán secuestrar una cuenta en particular y cualquier otra con la que se compartan las mismas credenciales. Las contraseñas, o incluso mejor, las frases de contraseña, deben ser largas, seguras y únicas. Es clave utilizar un administrador de contraseñas para mantenerlas seguras.

5. No activar la autenticación en dos pasos (2FA): Se utiliza para agregar una capa extra de seguridad aparte de las contraseñas. Con la autenticación en dos pasos se añade un segundo “factor”, que puede ser desde un código SMS hasta un escaneo facial, que dificultará a los cibercriminales acceder a una cuenta por más que tengan la contraseña.

6. No hacer una copia de seguridad (backup): Realizar copias de seguridad es otro de los hábitos de seguridad básicos y esenciales que muchos de usuarios descuidan. Eso puede causar problemas si los cibercriminales logran acceder y cifrar los datos, como es en el caso de una infección con ransomware. Hacer copias de seguridad de forma regular y mantener una de estas copias sin conexión a internet puede ser de gran ayuda ante cualquier pérdida accidental de datos.

7. Usar y compartir dispositivos de trabajo para uso personal: La nueva era del trabajo remoto e híbrido significa que muchos de nosotros ahora pasamos más tiempo trabajando desde casa. Esto hace que sea más tentador usar el dispositivo corporativo para tareas personales, como realizar compras, descargas de Internet, juegos o contenido de plataformas de streaming. Esto podría poner en riesgo al empleador, ya que si un dispositivo se infecta con malware los cibercriminales pueden acceder a las redes y aplicaciones corporativas. Tratar de separar el trabajo y el juego utilizando los dispositivos corporativos solo para tareas laborales.

8. Ser complaciente: Uno de los mayores desafíos con la seguridad es que es probable que los usuarios piensen que todo está bien, hasta que sea demasiado tarde. Se confía en las empresas con las que se intercambian datos y en los proveedores de tecnología cuyos productos se utilizan todos los días. Pero eso puede generar una falsa sensación de seguridad. Tomarse el tiempo para mirar la configuración de seguridad de los dispositivos y estar informado sobre los principales riesgos y cómo gestionarlos.

9. No utilizar software de seguridad en todos los dispositivos: Muchos aprecian utilizar un software de seguridad de buena reputación. Pero, ¿cuántos lo han instalado en todos sus dispositivos? A menudo los smartphones y tablets están más expuestos a malware oculto en sitios web, en mensajes de phishing y en aplicaciones móviles. Las vidas digitales son cada vez más importantes y se deben proteger dando a la seguridad digital el tiempo y la atención que merece. Encontrar un proveedor en el se confíe y asegurarse de que todos los equipos y dispositivos estén protegidos.

Fuente: www.eset.com

 

 

Las pymes y las soluciones de seguridad de la información

Los pros y contras de las diferentes estrategias de implementación y mantenimiento de los sistemas de seguridad de la información.

A la hora de implementar y mantener los sistemas de seguridad de la información corporativa es lógico recurrir a profesionales. Estos expertos pueden ser internos o externos, proveedores de servicios o desarrolladores de la propia solución elegida, con sus respectivos pros y contras. Después de todo, implementar un sistema de seguridad de la información en una empresa en un proceso muy complicado que, además de la propia instalación del software, incluye las siguientes fases operacionales y preparatorias:

  1. El análisis de los riesgos de la seguridad de la información para identificar los aspectos vulnerables, valorar la probabilidad de amenazas y recopilar una lista de medidas necesarias.
  2. El desarrollo de las políticas de seguridad para regular el acceso a la información y garantizar su protección e integridad.
  3. La selección e implementación de la solución.
  4. La auditoría periódica de la solución para garantizar su eficacia y cumplimiento de los actuales requerimientos.
  5. La respuesta a incidentes.

Las grandes empresas suelen contar con un departamento de seguridad de la información que se ocupa de estas tareas, pero las pymes deben elegir entre la implementación de un sistema de seguridad interno o la subcontratación de terceros.

La implementación interna

Con “interno” nos referimos a un empleado (o departamento) con experiencia en seguridad de la información. La empresa puede intentar encontrar este perfil en el mercado o formarlo por su cuenta. Estos son los pros y contras de esta estrategia:

  • + La empresa controla el proceso de formación, por lo que puede adaptarlo a sus necesidades particulares o encontrar a una persona con las habilidades necesarias.
  • + El empleado interno conoce mejor los procesos corporativos, por lo que puede ofrecer soluciones más eficaces y específicas.
  • + El empleado interno podrá responder más rápido a las amenazas y problemas que puedan surgir.
  • + Los secretos de la compañía no acabarán en las manos equivocadas.
  • + Puede salir más económico que contratar experiencia externa, sobre todo si el empleado ya forma parte de la plantilla.
  • + La formación mejorará el estatus profesional del empleado, lo que fomentará su lealtad con la empresa.
  • – La formación llevará mucho tiempo.
  • – Puede salir más caro contratar a un experto que a un contratista; además, también llevará mucho tiempo.
  • – Es probable que el empleado formado conozca menos el área de aplicación que un experto en seguridad de la información.
  • – No hay ninguna garantía de que los conocimientos implementados resulten útiles en el futuro; sobre todo si se le concede la tarea a un empleado: ¿qué hará después de la implementación?
  • – El empleado podría marcharse, en cuyo caso habría que buscar a una nueva persona o contratista que se encargue de la solución.

Esta estrategia puede resultar especialmente relevante en el caso de las empresas con ansias de crecimiento o de ampliación, ya que sentará las bases para un futuro departamento de seguridad de la información. No obstante, si la empresa no tiene estas planificaciones en mente o el crecimiento no se traduce en el desarrollo de la infraestructura, no tiene sentido invertir en nuevas habilidades profesionales.

La implementación de terceros

El mercado está repleto de proveedores de servicios que ofrecen soluciones completamente equipadas: auditorías de la infraestructura, implementación y mantenimiento del sistema de seguridad informático. Estos son los pros y contras de esta estrategia:

  • + Ahorras tiempo: no hay que formar ni buscar a nadie.
  • + Lo más probable es que el contratista especializado ya cuente con experiencia y conocimientos en el campo de la seguridad de la información.
  • + El contratista puede ofrecer un amplio rango de servicios que van más allá de las habilidades internas.
  • + Un uso más eficiente de los propios recursos: todas las inquietudes sobre la implementación están subcontratadas.
  • + Menos riesgos, además de la habilidad de transferir estos riesgos al contratista.
  • – A la larga, una tercera parte puede salir más cara que un empleado interno.
  • – Es probable que el contratista no entienda los procesos internos corporativos, dando lugar a soluciones que no se adapten bien a estos.
  • – Falta de transparencia: nunca podrás estar seguro de todo lo que sabe realmente el contratista sobre los productos que está implementando.
  • – Pueden surgir problemas de confidencialidad: el contratista tendrá acceso a tus datos, pero desconoces por completo su política de seguridad interna.
  • – La empresa podrá generar una dependencia con el contratista.
  • – Nunca estarás al corriente de todo lo que sucede, con un control insuficiente sobre la implementación y el proceso de soporte.

En general, la contratación de una tercera parte es una forma sensible y común de implementar un sistema de seguridad de la información. Además, estos proveedores de servicios suelen cooperar con los desarrolladores de las soluciones, están certificados, tienen estatus de socio y ofrecen garantías. Pero hay una tercera opción…

La implementación de proveedores

Esta estrategia es similar a la segunda, la diferencia está en que en esta ocasión la implementación la realiza el desarrollador de la solución, cuyos empleados comprenden a la perfección. Lo que significa que:

  • + No se depende de ninguna tercera parte: la solución funcionará mientras que el desarrollador siga en el mercado.
  • + La garantía directa del proveedor reduce futuros riesgos.
  • + La configuración e implementación de los productos se realizará de la forma más rápida y eficiente posible.
  • + Minimiza el tiempo de inactividad causado por una configuración incorrecta y los largos tiempos de preparación.
  • + Maximiza la rentabilidad de las inversiones en seguridad de la información, ya que la experta configuración garantizará que los productos funcionen en su máximo esplendor.

Por otro lado, la mayoría de las pymes ni siquiera necesitarán que los expertos externos estén presentes in situ: hoy en día las funciones de los servidores están ubicadas en la nube y, en cualquier caso, los sistemas se pueden monitorizar en remoto.

Por ello, ponemos a tu disposición Kaspersky Professional Services, nuestra propia solución para la implementación de herramientas de seguridad de la información de Kaspersky con un amplio rango de servicios: el análisis de la infraestructura y políticas, el desarrollo de políticas y la eliminación de vulnerabilidades, la implementación y mejora de las soluciones, el soporte y el cifrado del almacenamiento de datos. Además, Kaspersky cuenta con equipos locales por todo el mundo que hablan tu idioma y cuentan con la experiencia necesaria. Nuestro paquete de soluciones es perfecto para las pymes, ya que minimizará la carga sobre el departamento informático o incluso eliminará la necesidad de un administrador de sistema a tiempo completo.

Fuente: latam.kaspersky.com

 

Routers descartados: la puerta a los secretos de una organización

ESET, identificó routers de segunda mano que al no haber pasado por un proceso de borrado de datos contenian información sensible e incluso confidencial.

ECUADOR – Tener que quitar un router averiado y reemplazarlo por uno nuevo es probablemente algo que sucede a menudo en los entornos de red de las empresas. Sin embargo, tan importante como lograr que el cambio e implementación de un nuevo equipo se realice sin contratiempos es pensar en el destino que se le dará al router descartado. El equipo de ESET, analizó routers de segunda mano y se sorprendió al descubrir que, en muchos casos, las configuraciones utilizadas anteriormente no habían sido borradas, y que los datos que contenían estos dispositivos podrían ser utilizados para identificar a los propietarios anteriores y conocer los detalles de sus configuraciones de red.

En las manos equivocadas, los datos que contienen estos dispositivos –incluidos los datos de los clientes, las claves de autenticación de router a router, la lista de aplicaciones y mucho más– son suficientes para lanzar un ciberataque. Un actor malicioso podría obtener datos para lograr el acceso inicial a la red y luego comenzar a investigar para detectar dónde se encuentran los activos digitales de la empresa y qué podría ser de valor. Probablemente la mayoría de los lectores comprende lo que puede venir después en un escenario como este.”, comenta Cameron Camp, Security Researcher de ESET.

En total se analizaron 18 routers, uno de ellos no encendía y dos eran un par reflejado, por lo que se los tomó como un solo equipo. Teniendo esto en cuenta, descubrieron que el 56 % de los dispositivos contenían datos y detalles de configuración.

Acceder de forma no autorizada a la red de una compañía tiene un costo: en la actualidad el precio promedio de credenciales de acceso a una red corporativa, según una investigación de KELA Cybercrime Prevention, ronda los 2.800 dólares. “Esto significa que si un router usado, comprado por poco dinero, es capaz de proporcionar sin demasiado esfuerzo acceso a una red, el retorno de la inversión para los cibercriminales puede ser significativo. Esto suponiendo que los atacantes solo se dediquen a comercializar los datos de acceso y venderlos en mercados clandestinos de la darkweb, en lugar de ellos mismos lanzar un ciberataque.”, explica Tony Anscombe, Chief Security Evangelist de ESET.

En los últimos años los métodos utilizados para lanzar ciberataques a empresas con la intención de obtener un beneficio económico han ido cambiando. Estos cambios hacia un estilo de ataque como el que realizan los grupos de amenazas persistentes avanzadas (APT) han permitido a los ciberdelincuentes establecer un punto de entrada para lograr poner un pie dentro de las redes de una organización. Luego, dedican tiempo y recursos para extraer datos sensibles, explorar métodos para evadir las medidas de seguridad y, en última instancia, someter a la empresa a un ataque de ransomware o al de otro código malicioso.

Desde ESET recuerdan que cualquier dispositivo que una compañía descarte debe pasar por un proceso de limpieza, y que ese proceso debe certificarse y auditarse regularmente para garantizar que la información sensible de una organización no termine siendo comercializada en mercados de compra y venta de hardware de segunda mano.

Algo preocupante que dejó esta investigación fue la falta de compromiso por parte de las empresas cuando intentamos alertarlas sobre el acceso público a sus datos. Algunas compañías se mostraron receptivas al contacto, algunas confirmaron que los dispositivos habían sido enviados para su destrucción o para que se lleve adelante un proceso de borrado de los datos, algo que claramente no había ocurrido. Otros simplemente ignoraron los repetidos intentos de contacto.”, concluye Anscombe, de ESET.

Para conocer los detalles de esta investigación ingrese al White Paper: “Cómo podría obtener información sensible de una compañía por $100 (en inglés)”, que también contiene una guía sobre el proceso que se debe seguir, incluidas las referencias a la publicación especial 800.88r1 del NIST: Guía para la sanitización de medios. Desde ESET recomiendan la lectura de esta investigación como impulso para verificar los procesos en internos de las organizaciones y de esta manera asegurarse de que no se esté divulgando información por error.

Fuente:

Datos de Contacto de Comunicación y Prensa. Para más información se puede poner en contacto a través de: Carolina Bueno, Relaciones Públicas a cbp7media@gmail.com. o al 0998605919

 

 

Cómo manipular datos personales con seguridad

Cómo almacenar y procesar sin riesgos información personal de identificación en una empresa.

Cada vez son más los gobiernos reforzando las leyes que regulan la manipulación de datos personales, mientras que la cantidad de filtraciones sigue creciendo año tras año. Por ello, si hace unos diez años las pérdidas financieras más importantes que podía sufrir una empresa eran a causa de las demandas judiciales y los daños a su reputación, ahora cobran protagonismo las sanciones de los reguladores, que pueden representar una parte importante de los daños de la empresa como resultado de un incidente de pérdida de datos. Ante esta situación, hemos decidido publicar una serie de consejos que te ayudarán a organizar procesos seguros para recopilar, almacenar y transferir información de identificación personal en tu empresa.

La recopilación de datos personales

Lo primero y más importante: recopila datos solo si tienes motivos legales suficientes para hacerlo. La recopilación de datos puede estar prevista formalmente por la ley del país en el que opera tu empresa, un contrato con términos que permiten claramente el procesamiento de información personal de identificación (PII) o un consentimiento expresado por un sujeto PII en formato electrónico o papel. Además:

  • guarda las pruebas del consentimiento obtenido para el procesamiento y almacenamiento de PII en caso de demandas o inspecciones;
  • no recopiles datos que no sean realmente necesarios para tus procesos de trabajo; los datos no se deben recopilar “por si acaso”);
  • si se recopilan datos que no son necesarios para el trabajo debido a algún error o malentendido, elimínalos de inmediato.

El almacenamiento de datos personales

Si recopilas datos personales, es muy importante que sepas dónde almacenarlos, quién puede tener acceso a ellos y cómo se procesan. Para ello, es posible que debas crear una especie de “mapa” donde se registren todos los procesos relacionados con la PII. Entonces, será recomendable desarrollar regulaciones estrictas para el almacenamiento y procesamiento de datos, y monitorizar constantemente la implementación de ambos. También aconsejamos lo siguiente:

  • Almacenar la PII exclusivamente en medios inaccesibles para los intrusos.
  • Limitar el acceso a la PII a un número mínimo de empleados: solo debe estar disponible para aquellos que realmente la necesitan por motivos laborales.
  • Eliminar de inmediato los datos personales que ya no se requieren para los procesos corporativos.
  • Si el flujo de trabajo requiere el almacenamiento de documentación en papel, solo deben guardarse en lugares seguros como, por ejemplo, una caja fuerte con cerradura.
  • Los documentos en papel que no sean necesarios deben destruirse con trituradoras.
  • Si los datos no son necesarios tal como están, anonimízalos. De esta forma, quedarán desprovistos de identificadores únicos para que, incluso en caso de filtración, resulte imposible identificar al sujeto.
  • Si no es posible anonimizar los datos debido a tus procesos corporativos, debes pseudo-anonimizarlos: convertir la PII en una cadena única para que la identificación del sujeto resulte imposible sin información adicional.
  • Evitar el almacenamiento de la PII en dispositivos corporativos y discos duros externos o memorias USB: se pueden robar o perder, pudiendo usarlas un atacante para acceder a los datos del ordenador.
  • No almacenar ni procesar PII real en la infraestructura de prueba.
  • No usar nuevos servicios para almacenar y procesar datos hasta que estés seguro de que cumplen con los requisitos básicos de seguridad.

La transferencia de datos personales

Todos los procesos relacionados con la transferencia de datos personales deben estar registrados y aprobados por el departamento de seguridad o el delegado de protección de datos, si existe. Además, todos los empleados con acceso a la PII deben tener instrucciones claras sobre cómo manejar los datos de la empresa, qué servicios corporativos o de terceros se pueden usar para ello y a quién se pueden transferir estos datos. Además, asegúrate de que:

  • los subcontratistas como, por ejemplo, un proveedor de servicios gestionados, no tengan acceso con derechos de administrador a los sistemas que contenga PII;
  • el acceso a los datos esté limitado a una base extraterritorial: los datos de los ciudadanos de un país no deben estar disponibles en otros países a menos que la transferencia transfronteriza de datos no esté regulada;
  • al transferir la PII, siempre se utilice el cifrado: esto resulta especialmente importante cuando se envían datos por correo electrónico;
  • al transferir datos personales a organizaciones de terceros, se firme un acuerdo de procesamiento de datos (DPA);
  • tienes el derecho legal de transferir PII a terceros. Es decir, existe un consentimiento para ello por parte del sujeto PII, ya esté especificado en un contrato o lo exija la ley.

Por supuesto, ninguno de estos consejos, ni siquiera las estrictas regulaciones, pueden excluir la posibilidad de un error humano. Por lo tanto, entre otras cosas, te recomendamos realizar periódicamente formaciones de sensibilización en materia de seguridad. Para ello, es recomendable elegir plataformas de aprendizaje que incluyan sobre todo contenido relacionado con la privacidad y la manipulación de datos personales.

Fuente: latam.kaspersky.com

Cómo roban fondos de las tarjetas bancarias y cómo protegerte

Investigamos por qué las tarjetas con chip no son la solución y qué precauciones debes tomar a la hora de realizar un pago.

Los servicios de pago son cada vez más convenientes y seguros, pero los ciberdelincuentes aún siguen robando fondos de tarjetas en todo el mundo. A continuación, te contamos cuáles son los métodos más comunes utilizados para este tipo de robo y cómo contrarrestarlos.

La clonación de tarjetas

Cuando las tarjetas solo almacenaban información en una banda magnética, era bastante fácil para los estafadores producir una copia exacta y usarla para pagar en las tiendas o sacar dinero en cajeros automáticos. Al principio, los datos se leían con un dispositivo especial: un skimmer que se instalaba en un cajero automático o en el terminal de una tienda. Esto se fue complementando con una cámara o una almohadilla especial en el teclado del terminal para averiguar el código PIN de la tarjeta. Tras obtener el volcado de la tarjeta y el PIN, los estafadores escribían los datos en una tarjeta en blanco y la usaban en un cajero automático o en una tienda.

Esta tecnología sigue funcionando en algunas partes del mundo, pero la llegada de las tarjetas con chip ha reducido considerablemente su eficacia. Este tipo de tarjetas no son tan fáciles de copiar, por ello los delincuentes comenzaron a infectar las terminales de pago con un código malicioso que copia algunos datos de la tarjeta mientras procesa una compra legítima. Después, los estafadores envían solicitudes de pago generadas con esta información. Básicamente, solo envían los datos que se han registrado previamente en la banda magnética, pero etiquetan la transacción como realizada por el chip. Esto resulta posible cuando los bancos no cruzan referencias de varios parámetros de transacción con suficiente detalle e implementan incorrectamente los protocolos EMV que deben cumplir todas las acciones de tarjetas con chip.

Con los bancos menos descuidados, los atacantes utilizan un truco aún más sofisticado. Cuando la víctima realiza un pago legítimo, la terminal de pago infectada solicita que la tarjeta insertada genere otra transacción fraudulenta. Por lo tanto, la tarjeta en sí no se copia, pero los fondos adicionales se deducen igualmente.

Cómo protegerte: intenta usar la función de pago sin contacto desde tu teléfono, que está mejor protegida. Si aún tienes que insertar una tarjeta en un terminal, verifica detenidamente el panel del código PIN en busca de modificaciones sospechosas y no te olvides de cubrirlo con tu mano, bolso u otro objeto cuando introduzcas el código. Si de repente el terminal no acepta el pago sin contacto, aparecen mensajes inusuales en la pantalla o solicita que introduzcas el PIN repetidamente, puedes comenzar a sospechar y tomar medidas de protección adicionales, como, por ejemplo, consultar de inmediato el estado de tu cuenta o establecer un límite de gasto bajo en la tarjeta.

Carteras “a prueba de balas”

Hoy en día podemos comprar carteras y bolsos protegidos con RFID, que protegen las tarjetas físicas de una lectura remota, por ejemplo, en el transporte público. No hay nada de malo con esta protección, lo cierto es que funciona. Sin embargo, esta situación de ataque es bastante inusual. Con un escaneo tan rápido solo se puede leer la información básica de la tarjeta y, por lo general, esto no es suficiente para realizar un pago. A su vez, es fácil averiguar las últimas ubicaciones y cantidades de pago sin contacto.

EL robo de datos de tarjetas a través de internet

Aquí, los estafadores buscan los datos de la tarjeta bancaria para poder realizar pagos online. Por lo general, incluyen el número de tarjeta, la fecha de vencimiento y el código de verificación (CVV/CVC); además, dependiendo del país, también se puede solicitar el nombre del titular de la tarjeta, código postal o número de pasaporte. Los estafadores recopilan estos datos de tres formas diferentes:

  1. Atrayendo a la víctima mediante la organización de una tienda online falsa, una copia de phishing de una tienda online real o con el pretexto de recaudar dinero para obras de caridad.
  2. Interceptando información a través de la infección de la página web de una tienda online genuina (web skimming) o el ordenador o smartphone de la víctima (troyano bancario).
  3. Hackeando una tienda online genuina y robando la información almacenada de la tarjeta de pago del cliente. Ten en cuenta que se supone que las tiendas no deben almacenar la información completa de la tarjeta, pero, por desgracia, a veces esta regla se infringe.

En general, este método de robo, aunque antiguo, ha llegado para quedarse; por ejemplo, según nuestro análisis, los ataques de robo de datos bancarios casi se duplicaron en el 2022.

Cómo protegerte: en primer lugar, hazte con una tarjeta virtual para tus pagos online. Si no es demasiado difícil o costoso, emite una nueva tarjeta virtual y bloquea la anterior al menos una vez al año. Segundo, establece un límite bajo en tu tarjeta para pagos online o simplemente ingresa muy poco dinero en ella. Tercero, asegúrate de que el banco siempre te solicite la confirmación de los pagos online con un código de un solo uso (usando 3-D Secure o mecanismos similares). Y cuarto, revisa cuidadosamente las formas de pago y las direcciones de los sitios donde hayas introducido información financiera. Para no tener que estar tan pendiente de este problema, usa herramientas de ciberseguridad que protejan de forma segura tus pagos online.

El robo de tarjetas y teléfonos a la antigua

Este es, por supuesto, el método de robo más notorio y flagrante, pero sigue siendo común. Los delincuentes expertos pueden usar las tarjetas para pagos online al encontrar una tienda que no requiera la introducción de códigos de verificación adicionales. Una forma más simple pero no por ello menos eficaz es usar una tarjeta robada para un pago sin contacto que no requiera la introducción del código un PIN. Por lo general, hay un límite para los pagos realizados de esta forma y, en algunos países, después de tres o cinco pagos de este tipo, la tarjeta se bloquea, pero en el Reino Unido, por ejemplo, las pérdidas de una víctima de este método primitivo de robo pueden llegar fácilmente a las 500 libras esterlinas (5 × 100 libras esterlinas). Un teléfono siempre es un objeto valioso para los ladrones y, si tiene habilitado Google Pay, incluso podrán pagar con el teléfono bloqueado dentro del límite de pago permitido, causando pérdidas adicionales a la víctima.

Los investigadores de seguridad han demostrado que incluso aunque una tarjeta se bloquee después de introducir el PIN incorrecto tres veces, a veces es posible realizar pagos sin contacto. Un atacante también podría intercambiar algunos datos con un teléfono bloqueado y luego usar registros modificados de ese intercambio para realizar pagos fraudulentos únicos. Afortunadamente, ambos tipos de ataque los han detectado unos investigadores éticos, por lo que existe la esperanza de que los estafadores ya no estén utilizando estos métodos.

Cómo protegerte: lo mejor es establecer límites de gasto relativamente pequeños en las tarjetas de uso diario. Si tu banco lo permite, puedes establecer un límite bajo exclusivamente para los pagos sin contacto. Por supuesto, debes asegurarte de que se pueda aumentar el límite rápidamente si surgiera la necesidad. Por otro lado, también puedes tener una tarjeta virtual emitida con límites bajos y vincularla con Google/Apple/Samsung Pay. Si la aplicación de pago se puede configurar para que solo permita pagos desde un teléfono desbloqueado, hazlo.

En conclusión, nos hemos percatado de que están surgiendo reglas en muchos países por las cuales las víctimas son parcial o totalmente compensadas por fraude. Para aprovechar esto, te recomendamos que tengas cuidado con los pagos con tarjeta, configures la forma más rápida de recibir notificaciones (push o SMS) y te pongas en contacto con tu banco lo antes posible si percibes alguna transacción sospechosa.

Fuente: latam.kaspersky.com

La seguridad del código abierto mejora, pero sigue siendo necesario un mayor compromiso por parte de las empresas

Parece que la situación en torno a la seguridad del software de código abierto es cada vez más preocupante, o al menos esa es la impresión que da el goteo de informes que alertan en ese sentido. Después de que VMWare publicara un estudio en el que mostraba un enfriamiento en la confianza, ahora es Synosys la que alerta de que un importantísimo porcentaje de las bases de código contienen al menos una vulnerabilidad grave.

Según un informe publicado por el Centro de Investigación en Ciberseguridad de Synopsys llamado Análisis de Riesgos y Seguridad del Código Abierto, el 84% de 1.703 bases de código que ha escaneado en el año 2022 contenían al menos una vulnerabilidad. Otro detalle a tener en cuenta es que el 48% de las mismas bases de código tenían vulnerabilidades de alto riesgo.

Aunque el informe se centra en el código abierto, es importante tener en cuenta que no está centrado exclusivamente en eso, sino más bien en las bases de código que contienen Open Source. En el siguiente gráfico se puede apreciar cómo los porcentajes de bases de código que contienen Open Source y de código en las propias bases que era abierto ha ido disminuyendo en los últimos años, a pesar de marcar unos porcentajes del 96 y el 76 por ciento respectivamente.

Otro dato de interés recogido por el informe y procedente de Gartner es que el 45% de las organizaciones del mundo recibirán un ataque a través de una vulnerabilidad presente en su cadena de suministro para el año 2025, lo cual supone una cantidad nada desdeñable, aunque acorde a lo que ya conocemos..

Synopsys explica que, si una organización no es capaz de gestionar correctamente la seguridad del código abierto y del software de terceros que emplea, ningún otro esfuerzo será útil si no se cuidan correctamente los cimientos: “Administrar este software implica obtener una visibilidad completa de sus dependencias y tener la capacidad de recopilar fácilmente información relacionada con el riesgo introducido por estos componentes. Una vez que se ha identificado este riesgo, necesita herramientas y prácticas para administrarlo, priorizarlo y remediarlo”.

Lejos de apostar directamente por el oscurantismo como forma de mejorar la seguridad, Synopsys aboga por realizar un inventario completo del todo el software empleado por una empresa, ya sea de código abierto, privativo o comercial, independientemente de su lugar de procedencia. Esto implicaría la creación de una lista de materiales de software (SBOM en sus siglas en inglés) en la que se enumerarían todos los componentes de código abierto de una aplicación, así como sus licencias, versiones y estado de los parches.

En contraste con el dato mencionado, la situación de la adopción del Open Source dentro de las bases de código ha mejorado si se toman los últimos cinco años. La presencia de código abierto en las bases escaneadas por Synopsys ha aumentado entre en los años 2018 y 2022 en un 163% en la tecnología educativa (EDTech); un 97% en las industrias aeronáutica, aviación y automoción; y un 74% en fabricación y robótica. El aumento explosivo en la EDTech se ha producido principalmente en la época de la pendemia.

El crecimiento en la adopción del Open Source entre los años 2018 y 2023 ha venido acompañado, aunque no necesariamente de forma relacionada, de un aumento del 557% en el número de vulnerabilidades de alto riesgo. De aquí se puede destacar a los sectores aeroespacial, aviación, automoción, transporte y logística vertical, que experimentaron en conjunto un aumento del 232% en las vulnerabilidades de alto riesgo halladas en sus bases de código.

En lo que respecta al IoT, un clásico cuando se trata de poca seguridad y software mal mantenido, el 100% de las bases de código analizadas por Synopsys contenían código abierto. Sin embargo, la cantidad de vulnerabilidades de alto riesgo aumentó un 130% desde 2018 hasta el presente año y el 53% de las aplicaciones auditadas contenían vulnerabilidades de alto riesgo. Los problemas de seguridad del IoT son viejos y derivan principalmente de software mal mantenido. La gravedad del problema ha sido tal que los ataques DDoS más potentes jamás vistos han procedido de este frente.

Synopsys recoge que el equipo de Black Duck Audit Services ha auditado 1.481 bases de código para hallar que el 91% de estas contiene componentes de código abierto que no están actualizados. El software sin actualizar es otra vía típica para acumular fallos de seguridad que se lo ponen fácil a los actores maliciosos.

Además de los asuntos en torno a la seguridad, el informe de Análisis de Riesgos y Seguridad del Código Abierto. En esta área, Black Duck Audit Services ha encontrado que el 54% de las bases de código contenían conflictos con las licencias de código abierto en 2022. Esto supone un aumento del 2% en comparación con el año anterior, pero una disminución del 17% frente al año 2020. La licencia que ha causado más conflictos (por su incumplimiento) es la Reconocimiento-Compartir Igual 3.0 de Creative Commons (CC BY-SA 3.0), ya que el 22% de las bases de código auditadas tenían un conflicto con ella.

Synopsys también se ha acordado de la GPL, la licencia con copyleft más popular. Aquí la mayoría de los conflictos proceden de la inclusión de código fuente publicado bajo licencia en software privativo cuyo código no está disponible de forma pública y bajo una licencia compatible (por ejemplo, el código fuente de UNRAR está disponible de forma pública, pero bajo una licencia privativa). Por otro lado, el 31% de las bases de código auditadas en 2022 estaba publicado bajo una licencia que no se podía discernir o una personalizada, lo que representa un aumento del 55% en comparación con el año anterior. Un ejemplo es JSON, cuya licencia es una MIT modificada con la restricción de “el software se utilizará para el bien, no para el mal”, la cual puede representar un incumplimiento de los principios del software libre.

Además de los conflictos de licencias, también está el software sin licenciar. Synopsys señala que, si bien lo lógico es pensar que si ese código está disponible es para que otros lo puedan usar, la falta de una licencia clara en torno a su publicación hace que la ley sobre derechos de autor discrepe sobre el libre uso de dicho código.

Y hasta aquí los puntos más interesantes del informe Análisis de Riesgos y Seguridad del Código Abierto de Synopsis, el cual tiene muchos más datos relacionados con el uso del Open Source en las bases de código, la seguridad de las propias bases de código y en torno a las licencias.

Fuente: www.muylinux.com

 

Estafas y engaños alrededor de ChatGPT

Extensiones maliciosas, falsos sitios de ChatGPT que distribuyen malware o perfiles falsos en redes sociales son algunas de las formas en que los cibercriminales utilizan el nombre de este servicio para atraer a potenciales víctimas.

Ecuador – ChatGPT ha despertado gran interés desde su aparición por su sorprendente capacidad y por las posibles formas de uso en diferentes escenarios. Esta atracción e interés masivo, como siempre sucede, también es aprovechado por los cibercriminales que buscan sacar partido de la popularidad de esta tecnología para cometer algún tipo de fraude. A continuación, repasamos algunos ejemplos de cómo distintos cibercriminales y estafadores están utilizando como señuelo a ChatGPT para engañar a las personas. Probablemente aparezcan nuevas formas a medida que el tiempo transcurra y el interés por esta tecnología siga en auge.

Falsas extensiones de ChatGPT en Chrome  

Recientemente se descubrió una extensión maliciosa para Google Chrome, llamada “Quick access to Chat GPT”, que ofrecía acceso directo a Chat GPT. Si bien la extensión proporciona la funcionalidad que promete, el objetivo principal es robar cuentas de Facebook y de otros servicios. Luego, los delincuentes utilizaban estas cuentas robadas para crear bots y desplegar a través de la red social más anuncios maliciosos que distribuyen malware y robar credenciales.

La extensión, que se promocionaba a través de anuncios de Facebook creados por cuentas previamente robadas, estuvo disponible durante seis días y registró un promedio de 2000 instalaciones diarias. La misma ya fue eliminada del repositorio oficial de Chrome.

Al ser instalado en el equipo de la víctima, este complemento para el navegador recopilaba información del navegador, como cookies de sesiones abiertas de cualquier servicios activo (como Facebook) y enviaba esta información a un servidor del atacante.

Investigadores de Guardio, que fueron quienes descubrieron este complemento, revelaron que se trata de una campaña que comenzó en febrero y que incluye otras extensiones maliciosas para Chrome que también utilizan el nombre de ChatGPT. Por lo tanto, no sería extraño que exista otra extensión maliciosa en actividad o que pueda aparecer una nueva en un futuro cercano. Así que mucho cuidado con las extensiones que instalamos en nuestro navegador.

Sitios y perfiles falsos de ChatGPT en redes sociales

También se ha detectado la presencia de páginas en redes sociales como Facebook que promueven contenido sobre esta herramienta, pero que también se utilizan para distribuir enlaces y anuncios que llevan a sitios que se hacen pasar por ChatGPT. Algunas de estas páginas buscan engañar a las víctimas para que descarguen archivos maliciosos en sus equipos. Investigadores han detectado que algunos de estos sitios descargaban malware que roba credenciales del equipo infectado.

Vale la pena mencionar que debido a la demanda que existe por ChatGPT y que muchas personas no pueden acceder al servicio por el volumen de personas interesadas en utilizar la herramienta, ahora OpenAI ofrece la posibilidad de pagar para acceder a la versión Plus. Esto también es utilizado por los atacantes para intentar robar los datos financieros de la tarjeta mediante falsos formularios.

Falsas apps para móviles de ChatGPT

Por el momento ChatGPT no está disponible a través de una app para teléfonos. Sin embargo, los cibercriminales están aprovechando este escenario para distribuir falsas apps para Android que descargan spyware o adware en los smartphones. Investigadores de Cyble detectaron más de 50 apps maliciosas que utilizaban el logo de ChatGPT que tenían como objetivo final realizar algún tipo de actividad maliciosa.

Otro caso reportado por Gizmodo reveló que en App Store se ha estado distribuyendo una app de dudosa reputación que utiliza el nombre de ChatGPT de forma gratuita, pero que al cabo de tres días cobra cargos de suscripción.

Si bien estas son algunas de las formas que -hasta ahora- han explorado los atacantes, seguramente aparezcan nuevos casos o incluso otras formas de aprovechar el interés y la curiosidad para cometer algún tipo de delito. Por lo tanto, las personas deberán estar atentas y desconfiar de los resultados de búsqueda, de los anuncios que muestran los resultados de Google o en las redes sociales. También se debe prestar atención a los enlaces que se comparten en grupos donde se discute sobre este tema o de cualquier app que prometa instalar este chatbot en el teléfono o como software en la computadora”, concluye el Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: www.welivesecurity.com