¿Cómo conectarme en remoto a mi empresa de forma segura?
Tener que acceder en remoto a los servicios de la empresa, como al correo electrónico o a la intranet es una situación frecuente pero que a su vez, puede ser arriesgada. ¿Quién no ha sentido la tentación de utilizar la wifi del aeropuerto o la del hotel, si estamos desplazados por motivos de trabajo y tenemos urgencia de enviar un fichero o conectarnos? Ten en cuenta que aun tomando todas las precauciones, no es una práctica recomendada ya que alguien mal intencionado podría tratar de espiar nuestra información. Si no tienes más remedio: utiliza una VPN.
Aunque existen formas más seguras de conectarse en remoto que lanzarse a utilizar la primera wifi pública que encontremos por ahí, como la utilización de nuestro smartphone como punto de acceso y usando el 4G/3G, es posible que en ocasiones no tengamos otra alternativa que usar una wifi pública. Para estos casos lo ideal es contratar un servicio de VPN, es decir, una Red Privada Virtual para cifrar las comunicaciones. ¿Sabes qué son?, ¿conoces cómo funcionan?, ¿son todas tan seguras? No todas las VPN son tan confiables como parecen, incluso pueden ser aplicaciones falsas, ¿sabrías cómo distinguirlas? Antes veamos con un poco más de detalle qué es una VPN
VPN (Virtual Private Network): un túnel privado
Básicamente este tipo de redes son conexiones que se realizan de manera segura sobre conexiones que en principio no lo son, como por ejemplo una wifi pública. Las VPN permiten ofrecer a nuestros empleados, en oficinas distantes o en teletrabajo, un acceso seguro a nuestros servidores. Algo así como un túnel privado para este tipo de conexiones. Las comunicaciones por este túnel van cifradas.
Existen distintos tipos de VPN, algunas cifran el tráfico entre nuestro dispositivo e Internet, y otras cifran extremo a extremo. El cifrado evita que otros puedan interceptar la comunicación «escuchándola» o manipulándola. Se garantiza pues la confidencialidad y la integridad de los datos. Además, los servidores podrán verificar nuestra autenticidad, es decir, sólo los usuarios autorizados a usar la VPN podrán acceder.
No obstante, es conveniente conocerlas con más detalle pues, se han dado casos de aplicaciones VPN que en realidad servían para robar datos, vender ancho de banda o monitorizar tu actividad.
¿Cómo sé si es confiable?
Una vez tengas claro para qué la necesitas busca en la oferta del mercado, lee bien las condiciones de contratación y la política de privacidad y aplica los criterios siguientes:
- Antes de confiar en una VPN investiga sobre ella. Consulta quién la ofrece, las condiciones del servicio, su funcionamiento, su rendimiento, etc. Vas a poner todo tu tráfico en sus manos. Revisa también la compatibilidad con tu sistema y navegadores y cuántas conexiones te permite.
- Si es una App para el móvil revisa los permisos que solicita para su instalación y los comentarios de otros usuarios, su nivel de aceptación y busca información sobre su desarrollador. No aceptes la instalación de aplicaciones que soliciten accesos excesivos a tus datos o a datos que nada tengan que ver con el servicio.
- Selecciona una VPN que cifre todo el tráfico y que cifre extremo a extremo. Hay VPN que cifran sólo hasta su servidor o que sólo cifran determinado tipo de tráfico. Asegúrate de que eliges una que cifre extremo a extremo si es lo que necesitas. Para ello, revisa la información del contrato. No está de más consultar también informes, opiniones y comparativas en Internet sobre las distintas opciones.
- Elige una VPN cuyos servidores estén ubicados en países de la UE ya que, con el Mercado Único Digital tendrás más garantías y será más fácil la resolución de conflictos si se diera el caso.
- Otra información que puede servirte para tomar la decisión, además del precio y las anteriores recomendaciones, es si llevan o no registros de actividad, los llamados logs (algunos proveedores pueden estar obligados a conservarlos temporalmente según la Directiva NIS). Si el anonimato es un requisito, seguramente no cumplirá el consejo anterior, es decir, los servidores no estarán ubicados en la UE.
- Lee con detenimiento la política de privacidad del servicio o producto, sobre todo la información que van a compartir con terceros si es que lo hacen. Escoge preferentemente VPN no gratuitas, sin publicidad. Ya conoces el dicho: ¡Si algo es gratis, el producto eres tú! Las aplicaciones gratuitas suelen solicitarte permiso para compartir tus datos con terceros con el objeto de enviarte anuncios.
- Comprueba que tienes personal formado para su auditoría y mantenimiento o que tienes un proveedor TI que te ofrece estos servicios.
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
Insiders, el enemigo está dentro
Tenemos fijación con las amenazas externas. Siempre pensamos que si quieren atacar a nuestra empresa, tiene que ser alguien de fuera. ¡Craso error! Los incidentes de seguridad provocados, con o sin mala intención, desde el interior son tan frecuentes y dañinos como los externos.
Malware instalado por empleados descuidados, robo de credenciales, fuga de datos, sabotaje, espionaje y abuso de privilegios son algunos de los incidentes que tienen su origen en el interior de la empresa.
Algunos empleados, incluso los jefes, pueden suponer, sin saberlo, una amenaza interna. Los incidentes provocados por descuidos o desconocimiento, en gran parte pueden solventarse con formación y supervisión.
¿A quién no le haya pasado que tire la primera piedra? Por ejemplo, cuando borramos datos sin querer o los enviamos a terceros equivocados; o cuando algún café cae sobre un equipo que, mojado, deja de funcionar. En estos casos el error humano puede tener consecuencias nefastas, sin la intervención de ningún atacante externo. También echamos tierra sobre nuestro tejado cuando alguien, sin querer, se va de la lengua o en los casos que salen en las noticias de informes con datos confidenciales hallados en la basura.
En estos casos la concienciación va a ser de gran ayuda. Siendo conscientes de lo que debemos evitar, pondremos más cuidado para que no ocurran estos accidentes.
En otros casos sí intervienen terceros externos que aprovechan nuestra ignorancia y buena disposición. Hablamos de los ataques de ingeniería social. Son los casos del phishing, whaling y otros fraudes que tienen como resultado el robo de credenciales de acceso, datos bancarios o la instalación de malware que puede abrir la puerta a otros ataques posteriores. A pesar de la formación y concienciación, el atacante intentará utilizar las debilidades de la naturaleza humana para engañarnos y conseguir sus objetivos.
Estos ataques no dejan de crecer y sofisticarse, suplantando a alguien de confianza y personalizando sus engaños para hacerlos más creíbles. Para el que ataca es un medio fácil, barato y no deja huella. ¡No hay que bajar la guardia!
También intervienen terceros externos cuando «compran» las voluntades de empleados poco éticos y les convencen para que realicen cualquier tipo de actividad ilegal (escucha la música):
- que instalen software espía u otro malware;
- que les vendan secretos de empresa;
- o que sirvan de muleros para blanquear dinero.
Los empleados y exempleados descontentos son una fuente de amenazas internas que, si tienen o conservan credenciales de acceso a los sistemas, pueden abusar de sus privilegios para dejar inactivos los sistemas, cambiar su aspecto, lanzar mensajes nocivos en redes sociales, llevarse o destruir datos, etc. Los efectos de estos ataques son devastadores, con pérdidas de imagen y de ingresos que pueden poner a riesgo la continuidad del negocio.
La primera medida que hay que tomar es la concienciación —o la alfabetización— en seguridad, con prácticas de situación como las que se proponen en el kit de concienciación de INCIBE. Así podremos evitar «accidentes» y reconocer los ataques de ingeniería social. Estaremos preparados también para identificar actitudes sospechosas en el correo electrónico o en el entorno de oficina.
Por otra parte, la supervisión y monitorización son claves para detectar actividades que se salgan de lo normal, como accesos en horarios no habituales o accesos a sistemas de usuarios que realizan cambios o actividades no esperados. Estas son señales de que podemos estar sufriendo un ataque. Para ello tendremos que:
- revisar periódicamente cuentas y privilegios de acceso;
- revisar y aplicar los procedimientos para dar de alta y revocar cuentas con privilegios;
- revisar las reglas de los cortafuegos que filtran el tráfico hacia y desde nuestros sistemas;
- y vigilar las entradas y salidas (registros o logs) a nuestros sistemas y aplicaciones, en particular los movimientos de los usuarios con más privilegios.
Un caso particular de supervisión es la detección de compras fraudulentas en tiendas online en las que la vigilancia de los pedidos es la clave para evitar males mayores.
Vigilar quién entra y quién sale y si se llevan o no información, es decir vigilar el perímetro de la muralla, se hace cada vez más difícil pues el perímetro se desvanece con las aplicaciones en la nube, la movilidad, el teletrabajo y la extendida costumbre de traer nuestros propios dispositivos a la oficina (BYOD, del inglés Bring Your Own Device).
Si se permiten estas prácticas en la empresa, se debe mantener por todos los medios posibles (cifrado, gestión de dispositivos, doble autenticación, acceso mediante VPN…) el control sobre los datos y los accesos desde todo tipo de dispositivos y aplicaciones. Para ello es importante definir, aplicar y vigilar el cumplimiento de las políticas que regulen el uso de estos dispositivos y aplicaciones.
Por último, y por si detectamos un ataque, tendremos que entrenarnos en responder de forma que los daños sean los mínimos.
Para evitar los daños de los ataques procedentes del interior tenemos que:
- conocer los accidentes e incidentes posibles, cómo ocurren y quién participa;
- entrenarnos para evitarlos y para detectar engaños;
- prepararnos para reconocer actividades sospechosas en nuestros sistemas y aplicaciones;
- supervisar y vigilar el perímetro y, con más motivo, si se ha «desvanecido»;
- organizar y probar la respuesta a incidentes.
Estas mismas medidas también son útiles para evitar los daños de los ataques que proceden del exterior pues como hemos visto sólo los separa una delgada línea roja, y en muchas ocasiones los atacantes «externos» se apoyan en ayudantes «internos» para perpetrar sus ataques. ¡Qué no te pillen desprevenido!
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
Internet de las cosas o Internet de los trastos
¿Sabes qué es el IoT o el Internet de las cosas? Lo que seguro sabes es que los lugares de trabajo cada vez están más interconectados. la comodidad que supone el ajustar el aire acondicionado o la iluminación desde el móvil, que la cafetera avise de que se ha quedado sin alguno de sus productos e incluso en un futuro cercano abrir un coche remotamente, impiden detenernos a hacernos la siguiente cuestión ¿Estos dispositivos son realmente seguros?
En INCIBE disponen de información sobre las medidas de ciberseguridad sobre Internet de las cosas a la hora de conectar a las redes de las empresas por ejemplo, las impresoras multifunción, en las que de base reflejamos su deficiente configuración y protección respecto a otros sistemas como ordenadores, servidores, etc. que sí «solemos» tener convenientemente protegidos mediante el uso de cortafuegos, instalando antimalware, utilizando contraseñas fuertes, etc.
En la actualidad, estos no son los únicos dispositivos que tenemos conectados al Internet de las cosas, o a lo que es lo mismo a la red de la empresa y a internet. Hay otros dispositivos desprotegidos con los que no contamos para la ciberseguridad de la empresa ya que no suelen estar incluidos en las auditorías de seguridad.
Los sistemas de seguridad físicos como cámaras de vigilancia Web IP, sistemas de control de presencia o alarmas que permiten el control remoto, sistemas de videoconferencia, medidores de energía o termostatos controlados en remoto desde un servidor, etc. son dispositivos que disponen de conexión directa a internet o las redes internas de la empresa y que no suelen estar contemplados por la política de seguridad de redes de las empresas. Son dispositivos englobados en lo que se denomina IoT o «Internet de las cosas», que consiste en conectar a internet objetos cotidianos con el fin de que puedan ser manejados o gestionar la información que generan en remoto.
Todos estos dispositivos pueden parecer inofensivos para la ciberseguridad de nuestras redes y empresas pero la realidad es que no es así. Al ser dispositivos conectados a internet de las cosas, son susceptibles de ser accedidos y comprometidos. Además, no suelen contar con los mismos estándares de calidad de seguridad de fábrica que otros dispositivos de red. Estos dispositivos suelen incluir deficiencias de seguridad como:
- usuarios y contraseñas de acceso por defecto y sin mecanismos que obliguen al usuario a cambiarlas por otras más seguras;
- páginas web de control y configuración inseguras o accesibles en remoto;
- inexistencia de cifrado en las comunicaciones;
- falta de personalización en la configuración de la seguridad;
- falta de soporte y actualizaciones de los fallos de seguridad detectados tanto en el software de control como en el firmware de los dispositivos.
Esto hace que sean una presa fácil para los ciberdelincuentes, que buscan este tipo de dispositivos como punto de entrada a las redes de las empresas o a otros puntos de la red que se encuentran más protegidos. El ataque y compromiso de estos dispositivos puede dar lugar a consecuencias graves para la seguridad como:
- ser añadidos a una red zombi que pueda realizar ataques DDoS, como es el caso de la red Mirai, que dejó en 2016 sin servicio a varias de las empresas más importantes a nivel mundial durante varias horas;
- ser utilizado como puente o punto de entrada para atacar otros equipos de la misma red, para poder robar información o comprometer servidores para realizar otras acciones delictivas;
Hemos de ser conscientes del problema que suponen estos dispositivos para la seguridad de nuestra empresa, así como las consecuencias que puede acarrear su deficiente instalación, configuración y mantenimiento. Para ello debemos tomar todas las medidas de precaución que nos permitan estos dispositivos y tratarlos como cualquier otro elemento que tengamos conectado a nuestras redes, incluyéndolos dentro de las políticas de seguridad y del Plan Director de Seguridad (PDS) de la empresa.
Algunas medidas o buenas prácticas que podemos adoptar para proteger estos dispositivos conectados a Internet de las cosas podrían ser:
- cambiar las contraseñas de fábrica por defecto;
- adquirir los dispositivos que resulten más seguros y que permitan actualizaciones de seguridad;
- habilitar su acceso a la red solo cuando sea necesario;
- evitar configurar el acceso a la red wifi de la empresa;
- deshabilitar el acceso remoto a los mismos desde fuera de la red interna corporativa;
- restringir el acceso únicamente al personal estrictamente necesario;
- desactivar la interfaz web si es posible;
- establecer un canal cifrado de comunicación.
Los fabricantes, de momento, priman la experiencia de usuario antes que la ciberseguridad por lo que debemos ser precavidos con los dispositivos que conectamos a nuestras redes corporativas, ya sea a través de cable o por medio de una red wifi, por inofensivo que parezca. Cualquier dispositivo conectado a la red es susceptible de ser atacado y comprometido, y más si no dispone de las medidas de seguridad suficientes.
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
INCIBE publica el decálogo de ciberseguridad para empresas
Es indudable que hoy en día los constantes cambios y mejoras en los sistemas informáticos y de telecomunicaciones generan innumerables oportunidades de negocios hasta ahora inexistentes, para poder competir en estos entornos tecnológicos tan dinámicos, las empresas deben acometer un considerable esfuerzo para adaptarse técnica, organizativa, física y legalmente. No obstante, todos estos cambios no se pueden afrontar sin considerar minuciosamente los riesgos a los que exponemos nuestros activos de información, tenemos que considerar la ciberseguridad en las empresas.
Esta guía publicada por INCIBE es un decálogo de ciberseguridad que pretende dar a conocer los diez aspectos más relevantes a tener en cuenta para proteger convenientemente la información de nuestra empresa.
Estos serían los diez mandamientos en ciberseguridad que siempre deberías tener presentes:
- política y normativa: elaboraremos una política de seguridad para saber cómo va a abordar nuestra empresa la ciberseguridad, partiendo de ella se elaborarán las normas y procedimientos a cumplir. Además, se desarrollarán los proyectos adecuados para garantizar nuestra política de seguridad
- control de acceso: lo compleja distribución de los activos de información requiere de un control de acceso adecuado. Tendremos que inventariar nuestra información y dar los permisos de acceso imprescindibles para los usuarios que realmente la necesiten
- copias de seguridad: la información es el activo más importante de una organización, para garantizar su disponibilidad es imprescindible realizar periódicamente copias de seguridad, eligiendo para ello los métodos y soportes más adecuados
- protección antimalware: la gran cantidad de software malicioso existente hoy en día, nos obliga no solo a instalar software antimalware en cada uno de los dispositivos informáticos de la organización, sino a implantar otras medidas especiales, como diseñar nuestra red de forma segura o bastionar adecuadamente otros elementos claves, como pueden ser las cuentas de administración
- actualizaciones: para garantizar un rendimiento óptimo y seguro de todas nuestras aplicaciones y dispositivos debemos asegurarnos de que todo nuestro software y firmware este conveniente actualizado, pondremos especial atención en mantener actualizadas las aplicaciones más críticas, tales como los sistemas operativos, los antivirus o los CMS
- seguridad de la red: Internet es una fuente inagotable de amenazas. Por ello debemos restringir y controlar al máximo el acceso externo a nuestra red corporativa. Asimismo, pondremos especial vigilancia en el uso de dispositivos de almacenamiento extraíbles
- información en tránsito: las nuevas tecnologías permiten un acceso rápido, ágil y descentralizado a la información de trabajo, aportando grandes ventajas pero también inconvenientes, como la perdida de información sensible, el robo de dispositivos o credenciales, el uso de sistemas de conexión no seguros, etc. Tendremos en cuenta todos estos factores para garantizar la seguridad de nuestra información fuera de las instalaciones de la empresa
- gestión de soportes: además de realizar copias de seguridad, para garantizar la correcta disponibilidad de nuestra información debemos estudiar y elegir los tipos de soporte de almacenamiento más adecuados (discos duros, cintas magnéticas, redes SAN-NAS, etc.), considerando para ello aspectos tales como la capacidad, la tasa de transferencia, etc. de cada uno de ellos
- registro de actividad: recabar los detalles relevantes (cuando, cómo, por qué, por quién, etc.) sobre los eventos más trascendentes en nuestros sistemas de información (arranque de sistemas, inicios y accesos a aplicaciones, acceso, modificación o borrado de información sensible, etc.), nos permitirá prever y estudiar situaciones anómalas que impliquen riesgo para nuestra información
- continuidad de negocio: es imprescindible que definamos y probemos un conjunto de tareas y acciones orientadas a recuperar cuanto antes la actividad normal de nuestra empresa ante la aparición de un incidente de seguridad.
Pueden encontrar toda esta amplia información en la guía publicada por INCIBE.
Capturando ballenas: el fraude del CEO
En la actualidad, los ciberdelincuentes no se conforman únicamente con los usuarios “convencionales” de los que pueden obtener “beneficios económicos” pero en pequeñas cantidades, por lo que tienen en el punto de mira a las grandes compañías. Te explicamos en qué consiste el fraude del CEO.
Últimamente, desde los servicios de respuesta a incidentes de INCIBE (CERTSI) están hallando un elevado número de intentos de estafa que involucran, por un lado a los altos cargos de las compañías, desde el nivel gerencial hasta las direcciones de los servicios más importantes, de ahí el nombre del fraude del CEO, y por otro, a aquellos empleados que tienen cierta capacidad tanto de acceder a los información financiera como de realizar transacciones económicas en nombre de la empresa.
El fraude del CEO es relativamente sencillo de realizar. Con la “ingeniería social” como punto clave para el éxito del ataque, básicamente consiste en que uno de los empleados de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente, elemento importante para hacer que el receptor de la tarea tenga poca capacidad de maniobra para pensar en la legitimidad de la solicitud. En este sentido estaremos de acuerdo en que todo empleado al que le llega una solicitud directa de su jefe, no suele cuestionar en demasía la petición. La solicitud puede ser del tipo:
“Hola Mario,
Necesito tu ayuda para una operación financiera confidencial. ¿Puedo contar con tu discreción? Solo debemos comunicarnos por mail.
Necesitamos realizar una transferencia para la nueva adquisición de la aplicación de Desarrollo y quiero que sea una sorpresa para el departamento. Por favor, haz una transferencia al siguiente número de cuenta ESXX-XXXX-XXXXX-XX-XXXXXXXXXX por valor de 15.000,00€. Con el concepto “Pago Aplicación SW Developers”
Muchas gracias y un saludo
Director Geneneral/CEO”
Si el empleado no se diera cuenta de que se trata de un mensaje fraudulento podría responder a su supuesto jefe, o realizar su petición y caer en la trampa. De pasar por alto el engaño, podría desvelar datos confidenciales como el saldo de la cuenta a lo que probablemente seguiría una petición para que haga alguna transferencia urgente.
Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más difícil de detectar.
Este tipo de fraudes se conoce como whaling (captura de ballenas) por tratarse de un tipo phishing (suplantación) dirigido a «peces gordos».
¿Y cómo podemos evitar este tipo de amenazas?
Una de las cosas que hemos de tener en cuenta es que los ciberdelincuentes suelen aprovechar ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones con el objetivo de que el suplantado no tenga la oportunidad de verificar su autenticidad.
En los casos más sofisticados del fraude del CEO podrían previamente haber espiado, mediante una aplicación maliciosa, los correos electrónicos para tratar de imitar el estilo de escritura del jefe e incluso, podrían haber robado las credenciales de acceso del jefe a su cuenta de correo para enviar el mail desde esta misma cuenta.
En cualquiera de estos escenarios del fraude del CEO las recomendaciones pasaría por:
- Realizar una llamada al responsable de esta solicitud para confirmarla y en caso de que no esté disponible, esperar hasta que lo esté
- Si tenemos los conocimientos suficientes, si no se lo podríamos encargar al personal técnico, tratar de analizar la cabecera del correo electrónico para comprobar la dirección del remitente. Mencionar que esto no es infalible ya que desafortunadamente este dato puede ser modificado
- Implementar dentro del plan de seguridad de la empresa, un procedimiento de seguridad que implique a más de una persona para autorizar los pagos, transferencias y cualquier tipo de transacción económica
- Mantener todo el software (sistemas operativos, aplicaciones, etc.) actualizado para evitar posibles virus que puedan aprovechar algún tipo de vulnerabilidad que permita espiar el correo
- Utilizar aplicaciones antimalware que son capaces de identificar falsos remitentes
- En las cuentas más críticas, evitar la visualización de los correos en HTML (como una web) para evitar posibles riesgos
- Aunque en último lugar, pero sin duda la más importante, la necesidad de concienciar y formar a todo el personal de la empresa en relación a este tipo de amenazas y otras con el objetivo de que sean capaces de responder frente a ellas
Mencionar que siempre es posible realizar consultas al Centro de Respuesta de INCIBE (CERTSI) frente a cualquier incidente de seguridad a través de la dirección incidencias@certsi.es
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE