Estuvimos en el ESET Security Day 2018 y esto encontramos.
Como socios estratégicos expertos en ciberseguridad para empresas, es nuestro deber permanecer al día y al corriente de los más importantes avances y amenazas del sector, por eso, era inevitable para nuestro equipo el aceptar la invitación de ESET al Security Day 2018, llevado a cabo en Bucaramanga el pasado 3 de mayo; el cual, lejos de ser un evento comercial, nos permitió estar actualizados para tomar medidas proactivas y reactivas inteligentes ante los principales incidentes de seguridad.
Así, no podíamos desaprovechar la oportunidad de compartir con todos ustedes los principales hallazgos y conclusiones de este gran evento de ciberseguridad, seguros de que les serán de provecho.
Supply Chain Attacks, una moda que incomoda:
¿Por dónde se quiebra una cadena? no hace falta ser físico para conocer la respuesta, por su eslabón más débil y, a pesar de que el término "cadena de suministro" define un ente abstracto, la repuesta se aplica perfectamente a esta como una ley. Los ciberdelincuentes también lo saben, por eso, independientemente del tamaño que tenga su empresa, si sus proveedores, distribuidores o cualquier otro aliado estratégico tiene un sistema de ciberseguridad vulnerable los criminales pueden atacar sus brechas (más fáciles de penetrar) para introducirse en los sistemas del resto de la cadena.
Por ejemplo, suponga que la empresa A tiene un fuerte sistema de seguridad perimetral, pero contrata a la empresa B como su aliado de mensajería, el cual no mantiene sus sistemas actualizados a la última versión; un delincuente que quiera obtener la información confidencial de la empresa A podría quemarse las pestañas intentando quebrar sus barreras o lanzar una ataque indirecto a través de B; podría tomar control del usuario de facturación de la empresa B, implantar un exploid zero-day oculto en la factura que enviará B a A y cuando el área de contabilidad de A la reciba (sin sospechar nada maligno, ya que es la factura de un "proveedor de confianza") el malware se ejecutará en segundo plano y el resto es historia.
Ya sé que parece una historia tomada de una serie de ciencia ficción, pero justamente ESET nos demostró, en vivo, como este proceso completo puede tomar tan solo media hora a un hacker sin necesidad de intervención del usuario o el uso de técnicas de ingeniería social, además usando software y código que se distribuye libremente en internet.
La mala noticia es que este tipo de ataques se están haciendo cada vez más comunes como consecuencia de la gran diferencia que existe entre las comapañías que se han preocupado por su seguridad informática y aquellas que no, convirtiéndose en una muy molesta moda, sin embargo, eso no significa que estamos indefensos; si bien no todas las compañías pueden darse el lujo de exigir un análisis de código o un peritazgo de ciberseguridad a cada uno de sus aliados, prácticas como una fuerte solución endpoint en sus equipos y la instalación constante y periódica de parches de seguridad en el software frenarán la mayor parte de los ataques; adicionalmente, implementar controles de acceso dentro de la red y la encriptación de la información sensible desestimarán mayores intentos de los atacantes.
Sin embargo, la verdadera cura a esta plaga se encuentra en no combatir solos, la formación al personal interno no debe cesar, pero ahora también se hace indispensable educar a sus aliados en temas de ciberseguridad y en la medida de lo posible exigirles mínimos aceptables para formar parte de su equipo; compañías como las de la imagen se olvidaron de hacerlo y todos conocemos sus nada alegres ni económicas consecuencias.
El número de vulnerabilidades encontradas por ESET en todos los sistemas operativos durante 2017 superó con creces el récord histórico (2014).
Respuesta a fugas desde adentro.
Un buen antivirus y un contrafuegos puede ayudarnos a mantener afuera los principales ataques externos contra los datos corporativos, lo preucupante es que muchas veces la información sensible se fuga y cae en manos equivocadas por alguien que ya tiene acceso a esta desde dentro; y es que en la mayoría de los casos las empresas, cuenten o no con un sistema de gestión certificado, no se detienen a realizar la clasificación de la información operativa, sensible y crítica; mucho menos a gestionar su acceso, modificaciones, copias y transporte; más aún, lo hagan o no, ante la fuga o manipulación indebida de un documento no se cuenta con la evidencia para demostrar la culpabilidad de un usuario determinado.
Solo 3 de cada 10 empresas clasifica la información sensible y el indicador no ha variado mucho en los últimos años.
Existen soluciones que permiten gestionar los permisos de los usuarios de la red, sin embargo, para ir un paso más allá está el software DLP, el cual permite administrar cada archivo, carpeta o ruta, de manera intuitiva, gráfica y sencilla.
Conscientes de ello y de lo tedioso (si no imposible) que es vigilar a cada colaborador, ESET ha desarrollado Safetica, el cual, si bien no es el único DLP que conocemos en el mercado, toma ventaja de la competencia al proponer opciones de gestión basadas en el comportamiento habitual de los usuarios, no en las reglas del sistema, además de incluir nativamente una solución que ayuda al departamento de TI en el paso anterior a la implementación de cualquier DLP, la fastidiosa pero necesaria clasificación de la información.
Así mismo, para poder tratar y transferir información confidencial de manera segura entre colaboradores de confianza, Deslock+ entra a formar parte de la familia de ciberseguridad, permitiendo la encriptación de archivos, carpetas y discos completos para asegurar la información de punta a punta.
Ciberseguridad en las empresas colombianas a nivel legal.
A través de la perspectiva de Rodrigo Parada (Abogado), Fernando Barajas (Fiscal) y Mauricio Rangel (Ing. de sistemas), expertos en ciberseguridad en Colombia, analizamos la realidad del país frente al tema en materia legal, las principales conclusiones las compartimos a continuación.
En Colombia existe la Ley 1273 de 2009 que define vagamente los delitos informáticos, sin embargo, debido al desconocimiento del sector, estás definiciones se quedan cortas a la hora de llegar a acusaciones y acciones legales, dejando muchas "zonas grises" en esta materia.
"En Colombia hay una completa indefinición de lo que es un delito informático (...) En lo que estamos de acuerdo es en que es aquel que hace daño a bienes informáticos o a través de bienes informáticos" - Rodrigo Parada
Dentro de esas "zonas grises" esta el que sí una compañía es victima de un delito informático, comprometa o no información de terceros, 'puede', más no está en la obligación, de denunciarlo. Está claro que muchas organizaciones prefieren no hacer públicos estos incidentes y y dar una solución técnica a nivel interno con tal de no ensombrecer su reputación o por miedo a las demandas civiles; sin embargo, la recomendación sigue siendo la denuncia, aún si decide no tomar acciones legales contra el atacante, pues, técnicamente el delito informático solo existe hasta el momento en que se ejecuta la denuncia, abstenerse de ello podría considerarse complicidad y llevar a peores consecuencias para la empresa en el futuro; además, para organizaciones pequeñas, una denuncia temprana puede permitirle aprovechar los recursos de la policía y la fiscalía para dar respuesta al incidente y posiblemente capturar al criminal.
Un aspecto importante resaltado por el fiscal, es que hay que tener presente que los ataques informáticos son reales y muchas veces sus síntomas se asemejan a los de un fallo técnico, por ende es necesario no actuar apresuradamente por resolver el fallo y no apagar el equipo sin realizar un volcado de memoria RAM antes, ya que esto implicaría la perdida de material probatorio para la fiscalía; si sospecha de que ha sido victima de un ataque informático en su empresa y no cuenta con el conocimiento técnico, debe aislar el equipo de la red y los usuarios sin apagarlo, y contactar a la policía o fiscalía para que sean ellos quienes le asistan en la recolección de pruebas.
Por supuesto, ante la investigación de un ciberataque la fiscalía debe analizar completamente los equipos implicados, así que resulta natural que estos mismos no sean objeto del incumplimiento de la ley, como al tener software pirata instalado o almacenar contenido ilegal; si la compañía no cuenta con las herramientas para demostrar la responsabilidad de alguno de sus empleados en estos hechos sin su consentimeinto, deberá responder a las sanciones impuestas y reparar los daños causados.
Todo comienza con la formación.
Ya lo hemos dicho anteriormente que en gran medida los ciberataques exitosos tiene blancos desinformados y muchos de ellos, aun los más sofisticados, ingresan a la organización con sencillas técnicas de ingeniería social, por eso es indispensable tener conciencia y mantenerse actualizado sobre las principales brechas de seguridad y las tendencias para dar respuesta proactiva para evitarlas.
Si considera que necesita profundizar en el tema o no sabe como iniciar la formación de sus compañeros y empleados en ciberseguridad, puede iniciar con los cursos de la Academia ESET, los cuales son gratuitos en su mayoría, o puede pedir la asesoría de expertos; además, no olvide suscribirse a nuestro blog para recibir las principales novedades en cuestiones de ciberseguridad y transformación digital para empresas.
Recuerde que ante cualquier inquietud sobre seguridad informática en su organización o si desea maximizar su protección de forma inteligente, puede contactarnos y contar con nuestro apoyo, además contamos con el respaldo de ESET como sus representantes oficiales en Santander.