Ciberseguridad y Hacking Ético

 

Gracias por la invitación de Cultura Digital. En esta entrevista conversamos sobre el hacking ético y la ciberseguridad en las organizaciones y como en este contexto de pandemia las ciber amenazas han aumentado y tanto para las organizaciones y ciudadanos digitales. 

Recomendaciones de Seguridad para el Teletrabajo

Ante la pandemia de COVID-19, las organizaciones han implementado mecanismos de teletrabajo para seguir operando. Para muchos colaboradores es una novedad y los expone a nuevos riesgos digitales que pueden ser aprovechados por los atacantes, quienes buscan constantemente diversas formas de comprometer la información personal y empresarial. En una encuesta realizada por la Compañía Apricorn el año 2018 a 100 organizaciones del Reino Unido de más de mil empleados, un 25% de los colaboradores encuestados respondieron que no tenían implementados mecanismos básicos de seguridad como antivirus y 30% no tenía ningún mecanismo de restricción de archivos (Gordon, 2020). Esta situación es similar o inclusive con mayor nivel de inseguridad de acuerdo con la realidad de cada país.

Por esta razón, consideramos que los usuarios que utilizan los dispositivos como PCs, laptops, tablets y teléfonos inteligentes para el teletrabajo deberían seguir los siguientes diez consejos que se describen a continuación: 

1. Consulte si su organización tiene reglas o políticas para el teletrabajo, si es así, asegúrese de cumplirlas. Por ejemplo, puede ser aceptable que use su propia computadora o teléfono inteligente para únicamente leer el correo electrónico de la empresa, pero no para acceder a datos confidenciales de los clientes.
2. Proteja las comunicaciones de su computadora contra escuchas. Si utiliza Wi-Fi (redes inalámbricas) en casa, asegúrese de que su red esté configurada de forma segura. Verifique si está utilizando la seguridad “WPA2” o “WPA3”, y asegúrese que su contraseña sea difícil de adivinar y que esté compuesto por lo menos con 8 caracteres alfanuméricos.
3. Verifique cuidadosamente el correo electrónico y redes sociales. Revise que el remitente sea alguien conocido de la organización y si es posible, verifíquelo por otro medio. Solo revise información en redes sociales en fuentes oficiales. Los atacantes están realizando phishing relacionados a la pandemia y que nos dirigen a paginas falsas. En redes sociales, se aprecian innumerables “fake news” que desorientan y desinforman a los colaboradores para realizar un engaño y solicitar información sensible.
4. Si su organización tiene una VPN (red privada virtual), úsela en su dispositivo de teletrabajo que le asigno la organización para una mayor protección (Su organización a través de las reglas o políticas de teletrabajo probablemente le dirán si cuenta con VPN). Si no es así, considere usar su propia VPN de acuerdo a los lineamientos que le brinde su organización. Es preferible que su organización utilice doble factor de autenticación para su VPN.
5. Si está utilizando su propia computadora o dispositivo móvil (dispositivo no asignado por su organización) para el teletrabajo, asegúrese de haber habilitado las funciones básicas de seguridad. Simplemente habilitar la función de PIN o password, huella dactilar o identificación facial evitará que las personas entren a su dispositivo. Cualquier PIN o contraseña que use debe ser difícil de adivinar. También debe asegurarse de tener un antivirus y firewall habilitado.
6. Consulte a su organización si se cuenta con una solución de cifrado para el dispositivo que se le ha asignado. Si el dispositivo es propio, coordine con su organización para habilitar la funcionalidad de criptografía “BitLocker” de Windows y en el caso de un dispositivo inteligente utilice la aplicación Veracrypt para Android o iOS.
7. Aplique parches de sistema operativo y aplicaciones de su computador y dispositivo móvil para mantenerlos actualizados. La mayoría ofrece una opción para verificar e instalar actualizaciones automáticamente. Habilitar esa opción puede ser una idea adecuada si no se desea buscar actualizaciones periódicamente. 
8. Si observa actividad inusual o sospechosa en cualquier dispositivo que esté utilizando para teletrabajo, solicite ayuda de su organización, más vale prevenir que lamentar. Comuníquese con la mesa de ayuda o el centro de operaciones de seguridad de su organización para informar la actividad.
9. Cuando convoque a reuniones o clases virtuales como Microsoft Meetings, Zoom, Google Hangout o Blackboard no publique el enlace en redes sociales u otros sitios públicos. Asegúrese que solo las personas autorizadas reciban el hipervínculo y password de la reunión. Deshabilite audio y video, también habilite la sala de espera, hasta que verifique que la persona está autorizada para participar en la reunión caso contrario retirarlo.
10. Revise y escuche las recomendaciones de seguridad de su organización, los expertos de seguridad de su organización monitorean constantemente las conexiones remotas y conocen los intentos de ataques de los ciberdelincuentes. La organización le capacitará y concientizará para el buen uso de las tecnologías digitales.

Referencias

NIST (2016). Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD). Security. https://www.nist.gov/blogs/cybersecurity-insights/telework-security-basics

NIST (2020). Telework Security Basics. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf

NIST (2020). Preventing Eavesdropping and Protecting Privacy on Virtual Meetings https://www.nist.gov/blogs/cybersecurity-insights/preventing-eavesdropping-and-protecting-privacy-virtual-meetings

Gordon, S. (2020). Securing workers beyond the perimeter. https://www.sciencedirect.com/science/article/pii/S135348582030009X/pdfft?md5=9d4c51314c9afb7c7d45a30409d796ad&pid=1-s2.0-S135348582030009X-main.pdf

¿Como aplicar seguridad en el comercio electrónico?

Los sitios de comercio electrónico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.

• Definir una estrategia de seguridad informática o ciberseguridad
• Definir una política y objetivos de ciberseguridad
• Definir responsabilidades:
  • En toda la organización
  • En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
• Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
• Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
• Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
  • Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
  • Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
    • Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
  • Revisión de código seguridad en todo cambio del comercio electrónico.
  • Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
  • Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
  • Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
  • Adquirir un seguro en caso de fraude informático, si es necesario.

Finalmente, Si una organización ya tiene implementado su canal de comercio electrónico deberá de realizar un análisis de brechas más exhaustivo según las mejores practicas para asegurar una solución de comercio electrónico publicado por PCI SSC, reconocida como un estándar de seguridad para aplicaciones de comercio electrónico. Para evaluar la madurez de la seguridad de la aplicación podemos usar el estándar ISO 15504.

Cybersecurity Bank & Government 2016 - La investigacion forense digital como herramienta para la lucha contra el fraude y corrupción

La corrupción y el fraude generan perdidas que superan el 5% del PBI del Perú. Las organizaciones públicas o privadas deben implementar controles para contrarrestar los riesgos de corrupción y fraude del personal interno o externo, proveedores e incluso clientes. Ante esta realidad se hace importante la colecta, adquisición, preservación y análisis de la evidencia digital para la ejecución de investigaciones forenses reactivas y preventivas que incluyan datos volátiles y no volátiles preservando una adecuada cadena de custodia. Les dejo mi presentación en el Cybersecurity Bank & Government Perú 2016.

La investigacion forense digital como herramienta para la lucha contra el fraude y corrupción from Raúl Díaz

Una perspectiva de ciberseguridad sobre el escándalo "Panama Papers"

Los papeles de Panamá o “Panama Papers” es considerado como la mayor investigación periodística realizada principalmente por los medios asociados al Consorcio Internacional de Periodismo de Investigación (ICIJ por sus siglas en inglés) sobre el negocio de las offshore o empresas en paraísos fiscales (lugares que gozan de inmunidad tributaria).

Esta noticia había sido siempre una sospecha, sin embargo, hace unos días se ratifica de manera contundente ante el hackeo a la firma Mossack Fonseca con sede en Panamá y que tiene representación en el Perú.  Esta hackeo genero la filtración de 11 millones de documentos que suman un total de 2.6 TB de datos. Estos documentos involucran a políticos, empresarios y artistas de todo el mundo y el Perú no es ajeno, básicamente los comprometidos en este escándalo buscan la evasión tributaria y camuflar su verdadero patrimonio principalmente que genera perdidas millonarias en los países de origen.

El problema de ciberseguridad que tuvo la firma Mossack Fonseca es por contar con una versión vulnerable del plugin “Revolution Slider” de su pagina hecha en WordPress y por otro componte de Drupal. Al ser explotado este plugin puedes tener acceso al archivo de configuración del WordPress llamado “wp-config.php”, en este archivo reside las credenciales de base de datos y del correo asociado.

Desde el punto de vista periodístico y de la noticia es un hecho que permite hacer frente a la lucha contra la corrupción y al fraude, sin embargo, desde el punto de vista legal, especialmente en el Perú, es complicado que puedas correlacionar esta evidencia con los casos de LavaJato, aportes a políticos y compañas. Desde el punto de vista, técnico es muy rico en investigación digital y se podría corroborar que es información integra y fehaciente. Sin embargo, existe un termino común en las investigaciones llamado “cadena de custodia” que consiste en describir como la evidencia digital ha sido gestionada. Si se rompe la cadena de custodia porque se manipulo la evidencia por una persona no autorizada o se extrajo de manera indebida el abogado defensor puede sugerir la eliminación de esa evidencia digital. Ej. “Los petroaudios”

En conclusión, la adecuada gestión de la evidencia digital, el soporte legal adecuado y la implementación de controles internos nos permitirán tener una posición clara ante la lucha contra la corrupción.

Fuente: 

• http://utero.pe/2016/04/05/breve-explicacion-de-que-carajos-pasa-con-los-panama-papers-en-la-politica-peruana-y-cuan-grave-es/
• https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connection/
• https://actualidad.rt.com/actualidad/204269-secreto-hackear-papeles-panama-fonseca
• http://www.theregister.co.uk/2016/04/05/email_server_hack_led_to_mossack_fonseca_leak/

El computo forense como herramienta en la lucha contra la corrupción en el Perú

Hoy en día la corrupción en el Perú es uno de los más grandes problemas en discusión, los expertos afirman que aleja la inversión privada e impacta negativamente nuestra economía. El gran desafío es como implementar un sistema anticorrupción.

En este articulo mostraremos como podemos utilizar el computo forense para la lucha contra la corrupción en entidades publicas. Partiremos definiendo al computo forense como la ciencia que colecta, examina, analiza y documenta la evidencia digital para tomar decisión sobre un evento según la NIST SP800-86. Este evento puede ser un asesinato, robo, fraude, hackeo entre otros delitos. Hoy en día esta ciencia se utiliza a nivel mundial en entidades privadas y publicas para descubrir la causa raíz de incidentes, principalmente, post mortem.

Los 10 errores más comunes en la gestión de las tecnologías de la información

Las tecnologías de la información han cambiado la forma de realizar negocios y los avances tecnológicos ha permitido crear nuevas empresas y destruir a otras como Blockbuster, Kodak, MySpace, Nokia, BlackBerry entre otras. Las empresas de todos los tamaños y de todos los sectores cometen algunos de los siguientes errores que conllevan a perder participación de mercado y valor (financiero y de producto o servicio).

1. Incompetencias del CIO: Los Chief Information Officer o Gerentes de Tecnologías de Información en muchos casos son promovidos sin las competencias adecuadas mínimas como Liderazgo, enfoque en el negocio, trabajo en equipo, empatía, habilidades de gestión y comunicación. Muchos CIOs en el Perú quieren ser los mejores técnicos, cuando su verdadera función es gestionar los recursos asignados y entregar valor a todos los interesados (Clientes, Accionistas, Empleados, Reguladores, Gobierno)

2. Ausencia de alineamiento de las Tecnologías de la Información a la Estrategia del Negocio: Las áreas de Tecnologías de la Información en ocasiones parecen cuarteles aislados que tienen una dirección diferente a la del negocio sin lograr excelencia operativa, liderazgo en costos o enfoque al cliente para generar valor. Para lograr el alineamiento de las TI al negocio primero se debe diagnosticar el estado actual de los recursos de TI, las competencias del personal, identificar el modelo de negocio y propuesta de valor para trazar la brecha y posteriormente diseñar y ejecutar el plan de acción tomando en cuenta un posible rediseño de procesos y cambio en la arquitectura de aplicaciones, datos, e infraestructura tecnológica (hardware, redes, software, etc). El no tener un enfoque en el negocio generará que TI se preocupe en implementar tecnologías que serán más problemas que solución.

Ciberseguridad o Seguridad de la Información ¿Qué término debemos utilizar?

Los orígenes

El término "ciberseguridad" es usado comúnmente por las personas e incluso por especialistas en diversos, eventos y cursos en los últimos 4 años. Es más, cuando incursiono en el mundo de la seguridad de la información hace 9 años el termino "ciberseguridad" no era muy utilizado. Actualmente, no existe consenso sobre el significado del termino "ciberseguridad" y sus diferencias con seguridad de la información. En este artículo explicaremos los orígenes del significado y sus diferencias con seguridad de la información.

El término "ciber" se deriva del griego "el individuo que gobierna una nave" y cibernética es "el arte de gobernar una nave". Este último término es utilizado por Norbert Wiener en el año 1942 para desarrollar su teoría de "control y comunicación en el animal y en la máquina" dando inicio a una nueva ciencia "La cibernética".  El escritor William Gibson en su novela "Neuromante" publicada en 1984 cita el término ciberespacio para referirse a un espacio de interacciones virtuales tomando el término escogido por Wiener.

Emprendimiento Tecnológico y Ciberseguridad

En Noviembre estuve presente en el Evento de Innovación del Instituto Continental como ponente del tema "Emprendimiento Tecnológico y Ciberseguridad" donde se describo las claves para iniciar una startup tecnológica y las herramientas que podemos utilizar en el proceso de generación de una empresa de impacto global. 

Emprendimiento tecnológico y ciberseguridad from Raúl Díaz

Presentación de Ciberseguridad en dispositivos móviles

Les dejo mi expo sobre "Ciberseguridad en dispositivos móviles" que realice a inicios del 2015 en Huancayo - Perú. Esta exposición consiste en  identificar los riesgos en dispositivos móviles en un entorno corporativo y mencionar las herramientas de hacking más utilizadas por ciberdelicuentes con el fin de utilizarlas para hacer simulaciones en nuestra organización y detectar vulnerabilidades en los procesos, personas y tecnología para remediarlas en un plazo razonable.

Flisol 2015: Ciberseguridad en dispositivos móviles usando software libre

El mes pasado en FLISOL 2015 Huancayo tuve a cargo el tema "Ciberseguridad en dispositivos móviles usando software libre". El uso de celulares es mayor que el de smartphones, si hacemos un análisis en el Perú esta afirmación se real. Esta realidad, ha hecho que los ciberdelincuentes dirigen sus esfuerzos a vulnerar los dispositivos móviles, especialmente, los smartphones con sistema operativo Android, iOS (Apple) o Windows Mobile. Las técnicas utilizadas son similares a las de cualquier otro computador. Algunas de estas categorías son:

• Wireless Hacking
• DOS
• Hijacking
• Man-in-the-middle
• Troyanos
• Password Cracking
• App Hacking

Por esta razón la seguridad ofensiva se hace vital cuando se analiza el nivel de seguridad de las organizaciones o personas particulares que pueden exponer su información o la información de la empresa.

Les comparto la presentación que realice en FLISOL 2015 en Huancayo con la gente Linuxera. Un gran abrazo a toda la gente de Huancayo por la acogida.

Ciberseguridad en dispositivos móviles usando software libre from Raúl Díaz

Detección del Fraude Informático mediante técnicas de informática forense

Colegas les adjunto la presentación que realice junto a BS Grupo sobre "la detección del fraude informático mediante técnicas de informática forense". Hoy en día el detección de fraude como proceso de control una vez ocurrido el incidente es una actividad necesaria en toda industria. Sin embargo, en algunas industrias es más demandante por las regulaciones, perdidas económicas y confianza del cliente. Las actividades de control fueron evolucionando a lo largo del tiempo decadas atrás la auditoria tuvo su gran ola y una gran cantidad de adeptos y aun los sigue teniendo, en la actualidad la seguridad o ciberseguridad es un tema muy comentado en los últimos años desde la gestión de la seguridad y la seguridad TI o ciberseguridad en todos los ámbitos. En los últimos años el ACFE (Association of Certified Fraud Examiners) www.acfe.com ha compilado una serie de conocimientos donde una de las aristas de la detección del fraude es el computo forense como soporte a la detección del fraude informático. Considero que los auditores y especialistas de seguridad tienen la opción de aumentar sus conocimientos y entrar al mundo de la prevención y detección del fraude como consecuencia natural de la evolución de su carrera profesional.

Deteccion del fraude informático mediante tecnicas de computo forense from Raul Diaz

Echelon la red de espionaje y ciberespionaje más grande del mundo.

La red Echelon está conformada por un conjunto de sistemas informáticos especializados instalados en todo el mundo, el cual incluye satélites y estaciones receptoras de información para la colecta de información como: correos electrónicos, llamadas por teléfono, mensajería instantánea, imágenes, videos entre otros. Es la red de espionaje más grande del mundo con bases en Australia, Nueva Zelanda, Reino Unido y USA.

Según Duncan Campbell, periodista especializado asegura que la red de espionaje inicia sus operaciones desde el lanzamiento de satélites para las comunicaciones en 1964 desde la guerra fría, en 1967 se construye la primera estación de interceptación en Morwenstow, Cornwall en Inglaterra. En 1980 se expande la red Echelon en diferentes partes del mundo y toma el nombre de Echelon II. En Marzo de 1999, Australia forma una alianza con el Reino Unido y Estados Unidos para compartir la información de inteligencia del sistema Echelon. En el año 2000, el ex director de la CIA James Woolsey, confirma que Estados Unidos utiliza sistemas de interceptación mediante el uso de palabras clave de interés nacional. Finalmente, un informe del parlamente Holandes afirma que Echelon existe y es controlado por la NSA “National Security Agency”

Edward Snowden, ex analista de la CIA, confirma a través del medio informático Wikileaks “que el gobierno norteamericano cuanta con redes de espionaje en todo el mundo, pero no necesariamente, para la seguridad nacional de USA”. Una investigación de Telegeography Research, describe por primera vez, el funcionamiento de PRISM, sistema informático que forma parte de la red Echelon de colecta de información de las principales compañías de Internet como Google, Yahoo, Amazon, Paypal, Skype, Microsoft, Youtube y Apple.