Insiders, el enemigo está dentro
Tenemos fijación con las amenazas externas. Siempre pensamos que si quieren atacar a nuestra empresa, tiene que ser alguien de fuera. ¡Craso error! Los incidentes de seguridad provocados, con o sin mala intención, desde el interior son tan frecuentes y dañinos como los externos.
Malware instalado por empleados descuidados, robo de credenciales, fuga de datos, sabotaje, espionaje y abuso de privilegios son algunos de los incidentes que tienen su origen en el interior de la empresa.
Algunos empleados, incluso los jefes, pueden suponer, sin saberlo, una amenaza interna. Los incidentes provocados por descuidos o desconocimiento, en gran parte pueden solventarse con formación y supervisión.
¿A quién no le haya pasado que tire la primera piedra? Por ejemplo, cuando borramos datos sin querer o los enviamos a terceros equivocados; o cuando algún café cae sobre un equipo que, mojado, deja de funcionar. En estos casos el error humano puede tener consecuencias nefastas, sin la intervención de ningún atacante externo. También echamos tierra sobre nuestro tejado cuando alguien, sin querer, se va de la lengua o en los casos que salen en las noticias de informes con datos confidenciales hallados en la basura.
En estos casos la concienciación va a ser de gran ayuda. Siendo conscientes de lo que debemos evitar, pondremos más cuidado para que no ocurran estos accidentes.
En otros casos sí intervienen terceros externos que aprovechan nuestra ignorancia y buena disposición. Hablamos de los ataques de ingeniería social. Son los casos del phishing, whaling y otros fraudes que tienen como resultado el robo de credenciales de acceso, datos bancarios o la instalación de malware que puede abrir la puerta a otros ataques posteriores. A pesar de la formación y concienciación, el atacante intentará utilizar las debilidades de la naturaleza humana para engañarnos y conseguir sus objetivos.
Estos ataques no dejan de crecer y sofisticarse, suplantando a alguien de confianza y personalizando sus engaños para hacerlos más creíbles. Para el que ataca es un medio fácil, barato y no deja huella. ¡No hay que bajar la guardia!
También intervienen terceros externos cuando «compran» las voluntades de empleados poco éticos y les convencen para que realicen cualquier tipo de actividad ilegal (escucha la música):
- que instalen software espía u otro malware;
- que les vendan secretos de empresa;
- o que sirvan de muleros para blanquear dinero.
Los empleados y exempleados descontentos son una fuente de amenazas internas que, si tienen o conservan credenciales de acceso a los sistemas, pueden abusar de sus privilegios para dejar inactivos los sistemas, cambiar su aspecto, lanzar mensajes nocivos en redes sociales, llevarse o destruir datos, etc. Los efectos de estos ataques son devastadores, con pérdidas de imagen y de ingresos que pueden poner a riesgo la continuidad del negocio.
La primera medida que hay que tomar es la concienciación —o la alfabetización— en seguridad, con prácticas de situación como las que se proponen en el kit de concienciación de INCIBE. Así podremos evitar «accidentes» y reconocer los ataques de ingeniería social. Estaremos preparados también para identificar actitudes sospechosas en el correo electrónico o en el entorno de oficina.
Por otra parte, la supervisión y monitorización son claves para detectar actividades que se salgan de lo normal, como accesos en horarios no habituales o accesos a sistemas de usuarios que realizan cambios o actividades no esperados. Estas son señales de que podemos estar sufriendo un ataque. Para ello tendremos que:
- revisar periódicamente cuentas y privilegios de acceso;
- revisar y aplicar los procedimientos para dar de alta y revocar cuentas con privilegios;
- revisar las reglas de los cortafuegos que filtran el tráfico hacia y desde nuestros sistemas;
- y vigilar las entradas y salidas (registros o logs) a nuestros sistemas y aplicaciones, en particular los movimientos de los usuarios con más privilegios.
Un caso particular de supervisión es la detección de compras fraudulentas en tiendas online en las que la vigilancia de los pedidos es la clave para evitar males mayores.
Vigilar quién entra y quién sale y si se llevan o no información, es decir vigilar el perímetro de la muralla, se hace cada vez más difícil pues el perímetro se desvanece con las aplicaciones en la nube, la movilidad, el teletrabajo y la extendida costumbre de traer nuestros propios dispositivos a la oficina (BYOD, del inglés Bring Your Own Device).
Si se permiten estas prácticas en la empresa, se debe mantener por todos los medios posibles (cifrado, gestión de dispositivos, doble autenticación, acceso mediante VPN…) el control sobre los datos y los accesos desde todo tipo de dispositivos y aplicaciones. Para ello es importante definir, aplicar y vigilar el cumplimiento de las políticas que regulen el uso de estos dispositivos y aplicaciones.
Por último, y por si detectamos un ataque, tendremos que entrenarnos en responder de forma que los daños sean los mínimos.
Para evitar los daños de los ataques procedentes del interior tenemos que:
- conocer los accidentes e incidentes posibles, cómo ocurren y quién participa;
- entrenarnos para evitarlos y para detectar engaños;
- prepararnos para reconocer actividades sospechosas en nuestros sistemas y aplicaciones;
- supervisar y vigilar el perímetro y, con más motivo, si se ha «desvanecido»;
- organizar y probar la respuesta a incidentes.
Estas mismas medidas también son útiles para evitar los daños de los ataques que proceden del exterior pues como hemos visto sólo los separa una delgada línea roja, y en muchas ocasiones los atacantes «externos» se apoyan en ayudantes «internos» para perpetrar sus ataques. ¡Qué no te pillen desprevenido!
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
INCIBE publica el decálogo de ciberseguridad para empresas
Es indudable que hoy en día los constantes cambios y mejoras en los sistemas informáticos y de telecomunicaciones generan innumerables oportunidades de negocios hasta ahora inexistentes, para poder competir en estos entornos tecnológicos tan dinámicos, las empresas deben acometer un considerable esfuerzo para adaptarse técnica, organizativa, física y legalmente. No obstante, todos estos cambios no se pueden afrontar sin considerar minuciosamente los riesgos a los que exponemos nuestros activos de información, tenemos que considerar la ciberseguridad en las empresas.
Esta guía publicada por INCIBE es un decálogo de ciberseguridad que pretende dar a conocer los diez aspectos más relevantes a tener en cuenta para proteger convenientemente la información de nuestra empresa.
Estos serían los diez mandamientos en ciberseguridad que siempre deberías tener presentes:
- política y normativa: elaboraremos una política de seguridad para saber cómo va a abordar nuestra empresa la ciberseguridad, partiendo de ella se elaborarán las normas y procedimientos a cumplir. Además, se desarrollarán los proyectos adecuados para garantizar nuestra política de seguridad
- control de acceso: lo compleja distribución de los activos de información requiere de un control de acceso adecuado. Tendremos que inventariar nuestra información y dar los permisos de acceso imprescindibles para los usuarios que realmente la necesiten
- copias de seguridad: la información es el activo más importante de una organización, para garantizar su disponibilidad es imprescindible realizar periódicamente copias de seguridad, eligiendo para ello los métodos y soportes más adecuados
- protección antimalware: la gran cantidad de software malicioso existente hoy en día, nos obliga no solo a instalar software antimalware en cada uno de los dispositivos informáticos de la organización, sino a implantar otras medidas especiales, como diseñar nuestra red de forma segura o bastionar adecuadamente otros elementos claves, como pueden ser las cuentas de administración
- actualizaciones: para garantizar un rendimiento óptimo y seguro de todas nuestras aplicaciones y dispositivos debemos asegurarnos de que todo nuestro software y firmware este conveniente actualizado, pondremos especial atención en mantener actualizadas las aplicaciones más críticas, tales como los sistemas operativos, los antivirus o los CMS
- seguridad de la red: Internet es una fuente inagotable de amenazas. Por ello debemos restringir y controlar al máximo el acceso externo a nuestra red corporativa. Asimismo, pondremos especial vigilancia en el uso de dispositivos de almacenamiento extraíbles
- información en tránsito: las nuevas tecnologías permiten un acceso rápido, ágil y descentralizado a la información de trabajo, aportando grandes ventajas pero también inconvenientes, como la perdida de información sensible, el robo de dispositivos o credenciales, el uso de sistemas de conexión no seguros, etc. Tendremos en cuenta todos estos factores para garantizar la seguridad de nuestra información fuera de las instalaciones de la empresa
- gestión de soportes: además de realizar copias de seguridad, para garantizar la correcta disponibilidad de nuestra información debemos estudiar y elegir los tipos de soporte de almacenamiento más adecuados (discos duros, cintas magnéticas, redes SAN-NAS, etc.), considerando para ello aspectos tales como la capacidad, la tasa de transferencia, etc. de cada uno de ellos
- registro de actividad: recabar los detalles relevantes (cuando, cómo, por qué, por quién, etc.) sobre los eventos más trascendentes en nuestros sistemas de información (arranque de sistemas, inicios y accesos a aplicaciones, acceso, modificación o borrado de información sensible, etc.), nos permitirá prever y estudiar situaciones anómalas que impliquen riesgo para nuestra información
- continuidad de negocio: es imprescindible que definamos y probemos un conjunto de tareas y acciones orientadas a recuperar cuanto antes la actividad normal de nuestra empresa ante la aparición de un incidente de seguridad.
Pueden encontrar toda esta amplia información en la guía publicada por INCIBE.
Capturando ballenas: el fraude del CEO
En la actualidad, los ciberdelincuentes no se conforman únicamente con los usuarios “convencionales” de los que pueden obtener “beneficios económicos” pero en pequeñas cantidades, por lo que tienen en el punto de mira a las grandes compañías. Te explicamos en qué consiste el fraude del CEO.
Últimamente, desde los servicios de respuesta a incidentes de INCIBE (CERTSI) están hallando un elevado número de intentos de estafa que involucran, por un lado a los altos cargos de las compañías, desde el nivel gerencial hasta las direcciones de los servicios más importantes, de ahí el nombre del fraude del CEO, y por otro, a aquellos empleados que tienen cierta capacidad tanto de acceder a los información financiera como de realizar transacciones económicas en nombre de la empresa.
El fraude del CEO es relativamente sencillo de realizar. Con la “ingeniería social” como punto clave para el éxito del ataque, básicamente consiste en que uno de los empleados de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente, elemento importante para hacer que el receptor de la tarea tenga poca capacidad de maniobra para pensar en la legitimidad de la solicitud. En este sentido estaremos de acuerdo en que todo empleado al que le llega una solicitud directa de su jefe, no suele cuestionar en demasía la petición. La solicitud puede ser del tipo:
“Hola Mario,
Necesito tu ayuda para una operación financiera confidencial. ¿Puedo contar con tu discreción? Solo debemos comunicarnos por mail.
Necesitamos realizar una transferencia para la nueva adquisición de la aplicación de Desarrollo y quiero que sea una sorpresa para el departamento. Por favor, haz una transferencia al siguiente número de cuenta ESXX-XXXX-XXXXX-XX-XXXXXXXXXX por valor de 15.000,00€. Con el concepto “Pago Aplicación SW Developers”
Muchas gracias y un saludo
Director Geneneral/CEO”
Si el empleado no se diera cuenta de que se trata de un mensaje fraudulento podría responder a su supuesto jefe, o realizar su petición y caer en la trampa. De pasar por alto el engaño, podría desvelar datos confidenciales como el saldo de la cuenta a lo que probablemente seguiría una petición para que haga alguna transferencia urgente.
Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más difícil de detectar.
Este tipo de fraudes se conoce como whaling (captura de ballenas) por tratarse de un tipo phishing (suplantación) dirigido a «peces gordos».
¿Y cómo podemos evitar este tipo de amenazas?
Una de las cosas que hemos de tener en cuenta es que los ciberdelincuentes suelen aprovechar ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones con el objetivo de que el suplantado no tenga la oportunidad de verificar su autenticidad.
En los casos más sofisticados del fraude del CEO podrían previamente haber espiado, mediante una aplicación maliciosa, los correos electrónicos para tratar de imitar el estilo de escritura del jefe e incluso, podrían haber robado las credenciales de acceso del jefe a su cuenta de correo para enviar el mail desde esta misma cuenta.
En cualquiera de estos escenarios del fraude del CEO las recomendaciones pasaría por:
- Realizar una llamada al responsable de esta solicitud para confirmarla y en caso de que no esté disponible, esperar hasta que lo esté
- Si tenemos los conocimientos suficientes, si no se lo podríamos encargar al personal técnico, tratar de analizar la cabecera del correo electrónico para comprobar la dirección del remitente. Mencionar que esto no es infalible ya que desafortunadamente este dato puede ser modificado
- Implementar dentro del plan de seguridad de la empresa, un procedimiento de seguridad que implique a más de una persona para autorizar los pagos, transferencias y cualquier tipo de transacción económica
- Mantener todo el software (sistemas operativos, aplicaciones, etc.) actualizado para evitar posibles virus que puedan aprovechar algún tipo de vulnerabilidad que permita espiar el correo
- Utilizar aplicaciones antimalware que son capaces de identificar falsos remitentes
- En las cuentas más críticas, evitar la visualización de los correos en HTML (como una web) para evitar posibles riesgos
- Aunque en último lugar, pero sin duda la más importante, la necesidad de concienciar y formar a todo el personal de la empresa en relación a este tipo de amenazas y otras con el objetivo de que sean capaces de responder frente a ellas
Mencionar que siempre es posible realizar consultas al Centro de Respuesta de INCIBE (CERTSI) frente a cualquier incidente de seguridad a través de la dirección incidencias@certsi.es
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
Ciberataque "el 67% de empresas europeas han sufrido uno"
Según el estudio de FireEye y PAC el gasto empresarial de un ciberataque asciende a 75.000€, por eso es fundamental estar preparado, ya que el 100% de las compañías han sido o serán atacadas a corto plazo
Las empresas están cambiando su enfoque de gasto en ciberseguridad pasando del tradicional Prevenir&Proteger a Detectar&Responder según concluye el nuevo estudio realizado por FireEye, líder mundial en detención de ciberataques avanzados, la consultora Pierre Audoin Consultants (PAC), HP, Telefónica y Resilient Systems. Los resultados muestran que este cambio se debe a la constatación por parte de las compañías de que los ataques cibernéticos son inevitables.
"Las empresas están tomando conciencia de lo inevitable de un ciberataque", asegura Duncan Brown, director de investigación de PAC y co-autor del estudio. "En lugar de gastar la mayor parte del presupuesto de seguridad en prevenir, las compañías asumirán un enfoque más equilibrado de los presupuestos para ataques cibernéticos".
Las entidades también tienen que hacer frente a su preparación en caso de brechas cibernéticas. "Vimos que el 86% de las empresas creen estar preparadas para un ciberataque, sin embargo, el 39% no cuenta con un plan para estar preparados ante un problema cibernético, lo que sugiere que algunas empresas niegan la realidad o están mal informadas acerca del verdadero estado de su preparación", agregó Brown.
La importancia de estar siempre preparado ante un ciberataque
"Los ataques cibernéticos se han vuelto cada vez más personalizados, dando lugar a que muchas más organizaciones estén comprometidas y que el impacto sobre el negocio sea mucho mayor", comenta Greg Day, CTO y VP EMEA de FireEye. "Esto demuestra que las empresas ya no pueden permitirse el lujo de centrarse exclusivamente en la defensa, necesitan equilibrarlo con una respuesta a incidentes. ¿Pero están las compañías realmente preparadas? El estudio muestra que actualmente hay una falta de alineación entre la confianza que las empresas tienen en su capacidad de respuesta ante un ciberataque y sus capacidades reales. La mayor diferencia son los conocimientos de las personas, algo que, la mayoría de las veces, no se puede solucionar rápidamente. Los requisitos propuestos para la nueva legislación de la UE supondrán un reto importante para muchos".
"Como defensores tenemos que tener en mente que nosotros tenemos que hacer lo correcto todo el tiempo, mientras que los atacantes solo necesitan tener suerte una vez", afirma Arthur Wong, vicepresidente senior de servicios de seguridad de HP. "En el entorno de amenazas actuales ya no es una cuestión de "si serás atacado" sino de “cuándo lo serás” y cómo respondas al inevitable ataque puede tener consecuencias a largo plazo sobre tu negocio y la reputación de tu marca".
La externalización es lo habitual
En contraste con la dotación de recursos para seguridad cibernética de la mayoría de las empresas, la contratación de la prestación de “respuesta a incidentes” a terceros es lo más habitual según el estudio. "El 69% de las empresas utilizan recursos externos para responder ante un ciberataque", declara Brown. "Este uso de los servicios de terceros para la “respuesta a incidentes” es una estrategia a largo plazo, ya que las empresas planean utilizar especialistas cuando sea necesario".
La mayoría de los CISO (Chief Information Security Officers) se preocupan por la externalización de la seguridad porque lo perciben como una pérdida de visibilidad y control. Sin embargo, "con la “respuesta a incidentes” es mejor contar con un recurso externo a la espera de lo que pueda pasar que tener que desviar la atención del personal interno de sus responsabilidades fundamentales cuando se produce un ciberataque", concluye Brown.
Principales conclusiones del estudio:
- El 67% de las empresas experimentó una brecha de seguridad el último año y el 100% ha sido atacada en algún momento del pasado.
- Las empresas tienen dificultades para detectar infracciones cibernéticas: el 69% tarda entre uno y seis meses en descubrir un ataque.
- El 64% de las empresas europeas creen que el panorama de ciberataques está empeorando, frente al 28% que considera que está igual que el pasado año y el 9% que afirma que está mejorando.
- Las empresas gastan el 77% de sus presupuestos de seguridad en un enfoque tradicional Prevenir&Proteger utilizando soluciones end-point y firewalls.
- Sin embargo, el gasto está evolucionando hacia la capacidad Detectar&Responder, que representa el 23% del gasto actual pero que aumentará hasta un 39% en dos años. Este cambio es la respuesta a las crecientes amenazas a la seguridad cibernética.
- El coste de un ciberataque es cada vez más alto, siendo el gasto directo medio para una compañía de 75.000€, a lo que hay que sumar la pérdida de negocio y reputación.