Informe de seguridad de 2017

Servicios tecnológicos a empresas

Informe de seguridad de 2017

29/01/2018 Seguridad 0

Durante el año 2017 la seguridad cibernética dominó las noticias de revistas especializadas e incluso en periódicos de tirada nacional. Cada pocas semanas había titulares sobre ransonware, malware destructivos, herramientas de espionaje, guerra cibernética entre gobiernos, ataques a web´s del Partido Popular, ataque a web de Procés en Cataluña,…

¿Qué nos depara para el 2018?

Todos los analistas e investigadores en ciberseguridad coinciden en lo mismo. Para 2018 tendremos más de lo mismo, más encriptación de datos, más ataques a equipos, más robo de identidad, más robo de datos de empresas y personales, más ataques cibernéticos entre gobiernos,… Esto es una rutina que por desgracia ha venido a quedarse.

Todo esto no es malo. Durante el 2017 hemos aprendido que la seguridad va más allá que comprar un antivirus personal. La seguridad está calando entre los particulares y empresas para crear una cultura y concienciación.

El año 2018 debe ser el año de la defensa y la concienciación global de la necesidad de protegerse.

Ataques más relevantes durante el 2017.

La siguiente lista indica los ataques más sonado a lo largo de 2017. Evidentemente los más sonados son siempre las que afectan a grandes empresas y a las que se le roban gran cantidad de datos. Pero no debemos pensar que la seguridad es cosa de sólo grandes empresas. Un solo ataque del Wannacry afectó a más de 200.000 equipos de empresas y particulares.

  • Marzo
    1. Ciberguerra. Miles de documentos clasificados por la CIA y otros organismos de seguridad fueron robados.
    2. 1,37 billones de correos electrónicos fueron revelados y expuestos para ser atacados mediantes spam.
  • Abril
    1. Se populariza herramientas de hackeos y vulnerabilidades exploid de los diferentes sistemas operativos dejando los sistemas indefensos frente a amenazas sin la debida protección.
    2. Ransoware NotPetya que afectó principalmente a empresas y gobiernos ucranianos, infectado a través de una aplicación de Contabilidad muy utilizado en este país. Después surgieron otras variante que infectó débilmente al resto de Europa.
    3. Ataques directos a proveedores de servicios gestionados. Proveedores en la nube para hacerse con información de sus clientes.
  • Mayo
    1. La empresa Onelogin vio comprometido los datos de sus clientes.
  • Junio
    1. Ataque a los Sistema de control de la red eléctrica ucraniana deja sin luz durante una hora a la ciudad.
    2. Vuelve NotPetya disfrazado en ransomware para encriptar los datos de pequeñas empresas de toda Europa.
    3. Se pone al descubierto nombres, fechas de nacimiento, direcciones, … de muchos ciudadanos.
    4. De la empresa Indian Aadhaar se violan 135 millones de registros y 100 millones de cuentas bancarias de sus clientes.
  • Julio
    1. Violación de la plataforma HBO, mostrando información sensible, adelantos de episodios inéditos,…
  • Agosto
    1. La famosa herramienta de limpieza de registro Cleanner fue hackeada introduciendo en su instalación código malicioso infectando a miles de usuarios y empresas de todo el mundo.
  • Septiembre
    1. La empresa Equifax que ofrece servicio de fax online fue hackeada y puso al descubierto 145,5 millones de registros con datos importantes.
  • Noviembre
    1. La empresa Uber mantuvo expuesto 57 millones de datos de clientes durante un año.
    2. La firma de abogados Offhores fue hackeada filtrando 13,4 millones de archivos. Esto dio lugar a un escándalo que sacó a la luz multitud de empresas pertenecientes a personajes públicos de todos los países con empresas en paraísos fiscales.

Incremento de ataques en cadena sobre los APT

Durante el 2017 hemos presenciado ataques a empresas de prestación de servicios (APT). Estos ataques durante el 2018 se intensificarán y cambiará las formas de penetración. Estos ataques suelen ir enfocados a empresas determinadas con unos objetivos muy claros:

  1.  Obtener acceso a sus redes y los datos de sus clientes.
  2. Introducir en su plataforma de distribución código maligno para abrir puertas traseras que permita sus objetivos durante el mayor tiempo posible.
  3. Aprovechar el código fuente del software de libre de distribución para atacar a más equipos.

La detección de este tipo de ataques es difícilmente detectable por los sistemas de seguridad por que usan las vulnerabilidades de los sistemas. Incluso en caso de ser descubierto por el proveedor es posible que solucione el problema sin que los usuarios puedan darse cuenta del problema. Una alarma en un fallo de seguridad puede dañar la reputación del proveedor de servicio. Por este motivo muchas de las vulnerabilidades o penetración de malware en grandes compañías son resueltas sin que salga a la luz.

Incrementos de ataque con fines económicos.

  1. Aumentarán los ataques y amenazas donde el objetivo principal es la obtención de forma rápida de un beneficio económico.
    Amenazas tipo ransomware, donde encripta los datos de los equipos, servidores,… y piden un rescate por los mismos.
  2. Malware que roban datos personales, números de tarjetas de créditos, datos bancarios, password,…
  3. Phishing más sofisticados y de difícil detección (copia web exactamente iguales a las originales con la intención de robar información).

Entrada en vigor el Reglamento de la Protección de datos de la Unión Europea.

A partir del 25 de mayo de 2018 será de obligado cumplimiento el nuevo Reglamento de Protección de Datos de la Unión Europea (RGPD).

El objetivo de este reglamento es básicamente el mismo, la de proteger la privacidad de todo tipos de información, numérica, alfanumérica, fotográfica, acústica, o de cualquier otro tipo concerniente a personal físicas identificadas o identificables. 

Pero esta nueva ley si trae nuevos derechos y obligaciones para las empresas. Se fortalecerán los derechos de los ciudadanos, se intensificará los deberes y obligaciones de las empresas privadas o públicas que manejan datos de ciudadanos de la UE para impedir la filtración o uso abusivo que se puedan hacer de la información.

Los cambios más significativos de la reforma:

  • Facilitar el derecho del ciudadano a obtener una copia de los datos personales en un formato estructurado, de uso común y lectura mecánica.
  • El consentimiento del uso de los datos debe ser mediante una acción afirmativa sin ninguna duda ni ambigüedades.
  • La información que se debe facilitar a los interesados debe ser preciso, conciso, inequívoco de fácil acceso con un lenguaje claro y sencillo.
  • Responsabilidad proactiva.

El principio de responsabilidad proactiva, básicamente consiste en demostrar que se cumple con la normativa. La antigua LOPD sólo solicitaba la documentación incorporada en el documento de seguridad de la empresa. Con la reforma se va a solicitar a los responsables que pueda demostrar físicamente los mecanismos que se usan para el cumplimiento de la normativa. Para poder demostrar el cumplimiento se debe llevar a cabo por la empresa:

  • Valoración de riesgos de seguridad de la información en el tratamiento.
  • Disponer de los mecanismos de información y actuación frente a incidencias de violación de la seguridad.
  • Informar a cada uno de los empleados de los deberes y responsabilidades que deben adoptar para el cumplimiento de la normativa. Este apartado es importante ya que son los empleados quién trabaja con la información de los ciudadanos.
  • Para determinadas empresas, actividades o puestos es obligatorio mantener un registro de actividades de acceso de la información. En algunos casos también es necesario la contratación de un Delegado de Protección de Datos.

Un abogado analizará riesgos fiscales, laborales, judiciales,… un economista podrá analizar riesgos económicos, financieros,.. un experto en riesgos laborales podrá analizar los riesgos en el trabajo. Pero ninguno de ellos, sin la formación y experiencia necesaria podrá realizar un estudio de riesgos de seguridad informática con garantías indicado en la reforma de la LOPD.
Un estudio de riesgo de seguridad informática es más que una obligación de cumplimiento de la LOPD.

Un buen análisis de riesgo ayudará a las empresas a:

  1. Disminuir las incidencias en los equipos y sistemas de trabajo.
  2. Evitar que los sistemas se bloqueen, vayan lentos por la incorporación de malware en los sistemas.
  3. Evitará retrasos y paro innecesario en el trabajo diario.
  4. Aumentará la productividad de los trabajadores
  5. Alargará la vida de los equipos hardware.
  6. Mantendrá seguro y a salvo los datos de los clientes.

Aumento de la seguridad en las empresas.

Las empresas cada vez son más consciente de la necesidad de protegerse e incorporar seguridad activa en las infraestructuras. Esta sensación viene reforzada por el aumento de casos de ataques a pequeñas empresas durante el 2017. A demás este año se verá reforzada con la entrada en vigor de la reforma de la LOPD.
La protección en las empresas debe ser activas y supervisadas periódicamente. Los sistemas de seguridad y backup usados hace años hoy día no son fiables ni efectivos. La forma de trabajar, las amenazas y los cambios tecnológicos están en constante desarrollo y cambio. Por este motivo es sumamente necesario cambiar los sistemas de seguridad y adaptarse a los nuevos tiempos.

Las empresas que no protegen sus datos y los de sus clientes, es irresponsable que menosprecia la confianza que los clientes depositan sobre ella.

Los hackers.

Me he permitido introducir esta definición para aclarar la falsa creencia que los hakers son delincuentes.
Un hacker es alguien que descubre las debilidades de un computador o de una red informática. Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío. Un hacker no es un delincuente. El delincuente es aquel que usa sus conocimientos para hacer el mal. A estos últimos se les conocen como ciberdelincuentes.

Consejos útiles.

  1. Mantener las aplicaciones de servicios siempre actualizada.
  2. Disponer de servicios de seguridad como antivirus, firewall personal o corporativos,…, actualizados y supervisados.
  3. Realizar las descargas de software y actualizaciones siempre de web oficiales.
  4. No acceder nunca a las web´s a través de un buscador como Google. La forma de acceso debe ser introducir la dirección en la barra de direcciones o en los marcadores o favoritos almacenados en nuestro navegador.
  5. Controlar los accesos de los usuarios a la infraestructura de la empresa, los recursos y plataformas de terceros.
  6. Usar siempre contraseñas seguras.
  7. Limitar a los usuarios la instalación de software en los equipos de trabajo.
  8. Limitar el uso de internet no corporativo de los empleados.
  9. Formar a estos de uso de las nuevas tecnología en su ámbito de trabajo.
  10. Prohibir la conexión de equipos no autorizados a la red de la empresa. (Ejemplo: dispositivos móviles y portátiles mediante wifi o cableado a red corporativa).
  11. Disponer de un manual de uso y acciones a disposición de los empleados. (Manual de políticas de seguridad de los usuarios).
  12. Disponer de los mecanismos de restauración, recuperación de los sistemas y datos de la empresa.

Conclusión.

Está bastante claro, para el próximo año aumentarán los ataques. Estos serán más sofisticados y más destructivos. Todos lo sabemos y los gobiernos también.
Nuestra obligación como empresario es mantener los sistemas de trabajo en perfecto funcionamiento y evitar riesgos innecesarios que pueda poner en entredicho la capacidad de trabajo de la empresa y la seguridad de los datos de nuestros clientes.
La obligación de los gobiernos es concienciar a las empresas de la necesidad de mantener unos mínimos de seguridad informática en las empresas y proteger la privacidad de los ciudadanos. Por ello el gobierno insiste en la obligatoriedad de cumplir con la nueva Reforma de la Ley Europea de Protección de Datos.
Todos nos debemos tomar en serio la seguridad de nuestros sistemas y huir de sistemas que se presentan como baratos, fáciles de implementar donde el objetivo es cubrir la sanción por incumplir la Protección de Datos.
Un sistema de seguridad informática superficial y fácil tiene más ataque debido a que son vulnerable a ataques que se puedan producir de forma sofisticada y ataques menos sofisticados (estos pueden ser lanzados por cualquier usuario de una formación media que en un blog ha encontrado información para lanzarlo).

En un mundo tan complejo y cambiante como la seguridad informática es muy aconsejable ponerse en manos de profesionales con experiencias. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.