El 2011 fue un año que se caracterizó por cambios e inestabilidad en lo político y en lo social; eventos como las protestas y subsecuentes revoluciones mundiales, el levantamiento de los pueblos árabes, la muerte de Osama Bin Laden, la boda real y muchos desastres naturales como tornados en Estados Unidos y el terremoto-tsunami en Tokyo que afectó a millones de personas causando daños por varios miles de millones de dólares, así como inhabilitando extensiones de territorio por contaminación nuclear.

Viendo en perspectiva, el 2011 también fue realmente importante para los cibercriminales ya que se definieron claros modelos de ataques que han resultado ser muy exitosos en sus objetivos específicos. Ésta es una amenaza real que durante el año pasado representó, de acuerdo a la más reciente encuesta de Norton, 144 miles de millones de dólares en pérdidas de productividad, remediación y recuperación de incidentes.

El primer modo de ataque que se popularizó gracias al hacktivismo fue la denegación de servicio (DDoS) y las masivas fugas de información confidencial de empresas y entidades de gobierno de todo el mundo. La ciberguerra declarada por el grupo Anonymous a todos los que -dentro de su óptica- violentan los derechos de expresión y libertad, ubica a dicho grupo como una amenaza latente.

Anonymous se caracterizó también por apoyar los movimientos de la primavera árabe, lanzando ataques de negación de servicio a sitios gubernamentales en los primeros meses del año, también filtrando información personal de oficiales de Bahrain, Egipto, Jordania, Marruecos y Túnez. Asimismo Anonymous realizó ataques de gran magnitud como lo sucedido con HBGary Federal, una firma de seguridad que prestaba sus servicios al gobierno estadounidense, de la cual tomó control de sus servidores y revelaron más de 65,000 correos electrónicos confidenciales, así como deshabilitaron sus sistemas telefónicos y borraron archivos críticos. También afectaron a la firma Stratfor, encargada de administrar información e inteligencia para distintos gobiernos y empresas transnacionales.
Las motivaciones de estos ataques fueron poner en evidencia la falta de seguridad existente y exponer las malas prácticas y corrupción de los involucrados.

En cuanto a otro caso muy mencionado, la fuga masiva de datos de Sony, fue un ataque realizado aprovechando vulnerabilidades de código en páginas web y por el cual Anonymous logró extraer entre 100 y 120 millones de datos personales de usuarios de la Playstation Network, con un impacto económico en el orden de los miles de millones de dólares.

Dado que se han investigado de cerca a los cibercriminales asociados con estas bandas logrando detecciones y arrestos en todo el mundo, las reacciones han ido escalando en proporción de daños e impacto, por ejemplo, operaciones como Occupy Wall Street llevan protestas físicas donde se ha logrado exponer la identidad de policías, agentes de servicios secretos y fuerzas militares así como bloquear accesos a centros de negocio y protestar por la injusticia en la repartición de la riqueza. De nuevo, aquí la justicia poética que caracteriza a estos eventos.

Otro método estructurado de cibercrimen que se popularizó en el 2011 fueron los ataques masivos de SQL Injection, donde se han descubierto motores de búsqueda y detección de vulnerabilidades en plataformas para el manejo de contenido como WordPress que han permitido tomar control de manera automatizada de miles de sitios con la función de distribuir archivos maliciosos, fraudes con publicidad, correo spam, phishing y actividades ilegales relacionadas con la suplantación de identidad. Este tipo de ataques funciona generalmente mediante la inyección de líneas de código malicioso que afectan las aplicaciones del lado del cliente. Uno de los primeros casos de estas infecciones fue Lizamoon, llamado así porque las lineas de código que escribe en paginas hechas en ASP.NET hace una conexión a dominios con este nombre y logra desplegar una advertencia falsa al usuario que, mediante el uso de la ingeniería social, ingresa como víctima de redes zombie donde su equipo puede ser controlado de manera remota. Este ataque afectó a más de 500,000 sitios que distribuían malware de manera indiscriminada y persistente ya que existen componentes similares de inyecciones de comandos en sitios vulnerables vistos por primera vez hace 2 o 3 años que todavía afectan a usuarios de todo el mundo.

En octubre de 2011 fue descubierta otra variante muy parecida que afecta a más de 1 millón de sitios en todo el mundo. La motivación para estos ataques es muy diferente a los del primer caso, aquí se busca administrar la mayor cantidad posible de activos para obtener ganancias económicas a través de la renta y venta de acceso a redes zombie para enviar ataques de DDoS, romper contraseñas y robar credenciales e identidad masiva de los afectados. Existe todo un mercado negro cibernético por el cual se puede acceder a estas redes. De acuerdo con una investigación de Panda Security, detalles de una tarjeta de crédito válida con saldo disponible y autorización para compras en línea o vía Paypal, puede costar desde 10 hasta 1,500 dólares, dependiendo del límite de gastos de la tarjeta. En cuanto a la renta de una red de zombies para envío de correos, el precio de ésta empieza desde los 15 dólares la hora.

Como último vector de ataque están aquellos dirigidos y altamente especializados donde la víctima es una persona, departamento de misión critica para la industria donde se encuentra o un gobierno. El robo de propiedad intelectual y secretos industriales se ha popularizado desde la aparición de armas cibernéticas como Stuxnet, responsable por la modificación de parámetros controladores en plantas nucleares y sus subsecuentes mutaciones como Duqu.

De acuerdo a cifras del estudio “2012 Cyber Security Survey” de Bit9 que encuestó a 1,861 profesionales de TI, más de la mitad considera que será blanco de ataques de estos grupos criminales en 6 meses o menos, siendo la humillación y exposición pública el principal temor de los expertos en redes y sistemas.

Los gobiernos han desatado una guerra entre ejércitos cibernéticos que buscan tomar control de infraestructura crítica, realizar ataques masivos de negación de servicio contra servicios primarios como luz, agua o internet, actividades de espionaje y sabotaje que presentan una amenaza a la seguridad mundial. Es sabido que fuerzas militares como China o Israel cuentan con hackers dentro de sus filas de personal de inteligencia que se encarga no solo de proteger hacia adentro, sino de atacar y desarrollar operaciones sofisticadas de orden militar. Se ha registrado el surgimiento de fuerzas como el Pakistan Cyber Army o el Indian Cyber Army, que son grupos de hackers que se han adjudicado ataques como defacements a sitios contrarios.

Desde el 2010, Estados Unidos declaró el ciberespacio como un activo nacional, el cual faculta al presidente de controlar el acceso en caso de una emergencia, un botón de pánico para apagar el internet en caso de una amenaza a la seguridad de los habitantes.

La conclusión después de conocer las cifras, de identificar las motivaciones, exponer las técnicas y posibles implicaciones de un ataque, es que la ciberguerra es un tema de actualidad que afecta a todos.

Ahora la pregunta que surge es: ¿estamos aplicando las mejores prácticas para tratar con este riesgo latente? Se los dejo de tarea…

Por 271 votos a favor y nueve en contra, la Cámara de Diputados aprobó un dictamen que reforma varios artículos del Código Penal Federal. Se establecen sanciones contra el ‘hacking’, la revelación de secretos y el cyberbullying, entre otros.

Aún falta que se revise en la Cámara de Senadores y finalmente se publique en que fecha entran en vigor las reformas. Aparentemente todo esto ocurrirá antes de que finalice esta legislatura.

Considerando que ya estuviera aprobada, ¿estará más segura la información de las organizaciones y las personas? En mi particular opinión, no, aún cuando las modificaciones son necesarias.
Por la misma razón que no es seguro caminar por un barrio peligroso a altas horas de la noche, aún cuando la ley castigue a los asaltantes y homicidas.

Es por eso que la formación en técnicas de Investigación Forense son importantes. De otra
manera no se podrían recabar las pruebas necesarias para documentar un caso legal.

Esperemos no solamente que la reforma sea aprobada, sino que también la alta dirección de las organizaciones reconozca la imperiosa necesidad de robustecer las áreas de Seguridad Informática.
¿Estás de acuerdo?

Saludos cordiales,
David Taboada
Director Comercial

Esta entrada está protegida. Para verla escribe la contraseña:

Contraseña:

Como profesional de las Tecnologías de Información y quizá como especialista en Seguridad Informática, en algún momento usted se ha enfrentado a cuestionamientos parecidos a los siguientes:

• ¿Qué tan segura se encuentra nuestra información?
• ¿Estaremos gastando demasiado?
• ¿Cómo saber si estamos mejorando?
• ¿Qué saben nuestros usuarios de Seguridad Informática?
• ¿Cómo nos comparamos con otras organizaciones similares?

¿Cómo se responden satisfactoriamente las preguntas anteriores?

Estableciendo un programa de Métricos de Seguridad Informática con al menos los siguientes objetivos:

• Producir información significativa y accionable
• Respaldar los esfuerzos de mejora continua en Seguridad Informática
• Fundamentar las iniciativas de Seguridad Informática y obtener el respaldo necesario

Durante este 2012 estaremos apoyando a las organizaciones latinoamericanas en la implementación de sus programas de Métricos de Seguridad Informática. Además, iniciaremos un espacio de colaboración entre todas las organizaciones involucradas. Esto les permitirá compartir información, de manera controlada, para el Benchmarking de Seguridad Informática.

Contáctenos para más información.

Estos son los resultados finales de nuestro primer estudio de Estado Actual y Perspectivas de la Seguridad Informática en México, realizado durante los meses de octubre a diciembre de 2011.

Primeramente deseamos agradecer a todos nuestros amigos que participaron respondiendo al cuestionario. Su aportación es muy enriquecedora.

Presentamos los datos duros:

• 69% de los Directores Generales son actualmente más sensibles a los riesgos de seguridad de la información.
• 83% de los encuestados considera que los gestores del Capital Humano (Recursos Humanos) deben promover campañas de concientización dirigidas a toda la organización para la adopción de mejores prácticas de Seguridad de la Información.
• 52% de las organizaciones tendrán un presupuesto asignado en 2012 a la Seguridad de la Información que creció más que otros rubros.
• 86% de los profesionales de TI consideran la capacitación especializada en Seguridad Informática que recibieron durante el 2011 no fue suficiente.
• 45% contratará servicios de Pruebas de Penetración
• 41% contratará servicios de Análisis de Riesgos y Vulnerabilidades
• 38% contratará servicios de Consultoría en Desarrollo de Disaster Recovery Plan (DRP)

Los datos anteriores evidencian que la Seguridad de la Información adquiere cada día una mayor relevancia en las organizaciones. Los profesionales de TI y los especialistas en Seguridad Informática consideran que se debe aumentar el nivel de conciencia para toda la organización y la capacitación especializada.

Seguiremos conduciendo estos estudios, así que si tiene una sugerencia o aportación con todo gusto la recibiremos.

Les deseamos un 2012 exitoso y seguro.

Para casos de robo o extravío de smartphones o tablets existen aplicaciones tipo GPS, tanto para sistemas operativos Android, BlackBerry e iOs, que permiten localizarlos.

Estas apps pueden rastrear a los aparatos -y en su caso a criminales-, aunque también pueden ser utilizadas por terceros para acceder de manera no autorizada al teléfono y monitorear la actividad y comunicación del mismo si no existen controles de seguridad, advirtió David Schekaibán, director de la consultora Código Verde.

Facebook y Twitter, por ejemplo, solicitan permisos para utilizar la ubicación geográfica del dispositivo. Los usuarios pueden deshabilitar la función de geolocalización, sin dejar de utilizar estas apps.

“Un consejo práctico tiene que ver con utilizar un enfoque de ‘whitelist’, es decir, prohibir el uso del GPS a todas las aplicaciones e ir otorgando permisos de acuerdo a la información que queremos compartir”, dijo Schekaibán.

Existe una variedad de aplicaciones para cada sistema operativo. Conoce algunas de ellas:

BLACKBERRY

• Where Is My Phone Pro ($50.00 pesos)
  - Envía un correo electrónico a tu teléfono con una palabra clave para activar el timbre aunque esté en modo silencioso, o rastrea tu aparato de manera remota.
  - También puedes monitorear el nivel de carga de la batería, accesar a la lista de contactos y hacer que el aparato marque a un número.
• BlackBerry Protect (Gratis)
  Rastrea el aparato y respalda los datos de manera remota. Puede borrar la información y bloquear el teléfono en caso de extravío, además de cambiar de modo silencioso y activar el timbre.

IOS

• Buscar mi iPhone (Gratis)
  - Rastrea el aparato mediante la cuenta de Apple(iD) y protege la información.
  - Aunque el teléfono esté en modo silencioso, puede hacer que reproduzca un sonido por dos minutos en el volumen más alto.
  - También puede bloquear el aparato y borrar la información personal. Si el aparato está apagado al ser rastreado, el usuario puede pedir que envíe un correo electrónico cuando se conecte.
• GadgetTrak ($48.00 pesos)
  Rastrea tu aparato a través del sitio web, envía mensajes de texto al teléfono y hasta toma fotos del ladrón.
• Tracker for iPhone ($24.00)
  Rastrea hasta 2 aparatos, aun y cuando la aplicación no esté activada, al desplegar un mensaje en pantalla o un sonido. Se necesita una cuenta de Gmail.

ANDROID

• McAfee MobileSecurity (Dls.30.00)
  Utiliza un sitio remoto para localizar tu aparato. Puede rastrear cambios de chip (tarjeta Sim) así como borrar o restaurar datos.
• Where’s My Droid ($53.82pesos)
  Envía un mensaje de texto a tu celular para cambiarlo de modo silencioso a modo normal, y lo hace timbrar. También puede activar localización por GPS, con una liga a Google maps.
• Prey Anti-theft (Gratis)
  Activa opciones en tu teléfono -como bloquear el aparato, localización por GPS y alarma- con mensajes SMS.

Para ver la nota original puedes descargar el PDF de la versión impresa de El Norte, pulsando aquí.

• Explicación oficial del ataque RSA
   
• sobre ataques de negación de servicios en 2011
   
• listado de ataques informáticos relevantes marzo – junio 2011(gráfica)
   
  

Reverse Engineering the RSA Malware Attack from J. Oquendo on Vimeo.

Los recientes ataques cibernéticos a Gobiernos, plantas nucleares y empresas del sector militar-industrial en Estados Unidos, Asia y Europa han generado preocupación entre directivos por la seguridad de su información.

Ante esta situación, al menos un 33 porciento de empresas mexicanas incrementará recursos para este rubro en el 2012, en mayor proporción que al resto de la organización, de acuerdo a un sondeo.

“El punto débil en la cadena son las personas, debido a una falta de concientización”, dijo David Schekaibán, director general de la consultoría informática Código Verde.

“La tecnología ha avanzado con soluciones para proteger vulnerabilidades del sistema, pero siempre habrá un área que faltó proteger, y cada vez hay más personas con el tiempo, la disposición y motivación para buscar atacar un sistema para obtener su información”, indicó.

“Además, las mismas personas dentro de la organización abren puertas al abrir un archivo pdf que reciben por correo o conectar una memoria usb”.

David Taboada, director comercial de Código Verde, agregó que las pérdidas por un ataque pueden rondar los miles de millones de dólares, dependiendo del número de clientes afectados, el giro de la empresa y duración del ataque, entre otros.

Un sondeo realizado por Código Verde entre mil directores de sistemas en México reveló que un 50 por ciento percibe mayor preocupación de la dirección general por la seguridad informática.

Para ver la nota original puedes descargar el PDF de la versión impresa de El Norte pulsando aquí.

Fuente: El Norte

Éstos son los resultados preliminares del estudio Estado actual y perspectivas de la Seguridad Informática en México, que manifestamos publicaríamos durante este mes:

• Alrededor del 50% percibe una mayor preocupación de la Dirección General por la Seguridad Informática motivada por los ataques y filtraciones de datos recientes.
  
• Un 33% estima que el presupuesto asignado a Seguridad Informática en 2012 crecerá más que el presupuesto general de la organización.
  
• Alrededor del 70% recomienda que las organizaciones deben promover campañas de concientización internas.
  
• Un 80% considera que el personal de TI no tuvo capacitación suficiente en Seguridad Informática en el 2011.
  
• 73% de los encuestados están realizando pruebas de penetración, así como análisis de riesgos y vulnerabilidades.