Servicio de Atención al Cliente: 902 170 000 comercial@extrasoft.es
Ciberseguridad empresarial: balance de 2017

Ciberseguridad empresarial: balance de 2017

por | Abr 17, 2018 | Ciberseguridad

El año pasado, la expansión del WannaCry y las alarmas que se crearon a nivel mundial demostraron dos cosas. Una, la existencia de ataques globales se vuelve algo cada vez más habitual. La otra, que la ciberseguridad empresarial es algo que debe tomarse muy en serio. De hecho, el mercado de la ciberseguridad sigue creciendo. Se calcula que en España este apartado ha crecido a un ritmo del 7% en 2017.

1- Expansión y proliferación de ransomware

WannaCry es un ransomware, software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo y encriptar nuestros archivos. Normalmente a cambio de la posibilidad de acceder a los mismos suelen pedir un rescate.

El Cryptolocker en sus diversas versiones, también es un ransomware que ha causado estragos el año pasado.

Por tanto, la primera tendencia del 2017 no es tanto la aparición de los ransomware, como su expansión cada vez mayor y a nivel global.

2- Ataques DDOS basados en Botnets

Las botnets son grupos de ordenadores o dispositivos secuestrados que funcionan de manera automática y coordinada. Un ataque DDOS (Distributed Denial of Service) consiste en provocar el ataque a un solo ordenador o servidor desde muchos equipos de modo que se provoca el colapso del mismo. Los hackers pueden convertir ordenadores o dispositivos móviles en zombis al apoderarse de ellos para este tipo de ataques. Tu propio equipo es vulnerable a este tipo de operación, aunque ya te explicamos cómo detectarlo.

En 2017 se realizaron ataques DDOS o a webs de noticias como Al Yaseera, Le Monde y Figaro. También se paralizó la web de votaciones del Brexit o la de la Comisión Federal de Comunicaciones. En España, en medio de la agitación por el “procés” catalán, Anonymous bloqueó el acceso a la web del Tribunal Constitucional mediante este sistema.

3- Mercado del cibercrimen en la dark web

Otra gran tendencia ha sido la creación de un mercado del cibercrimen, basado en el anonimato de la dark web. Se denomina así al contenido público de la web que se aloja en darknets, que requiere de software específico, configuraciones o autorización para acceder él. En ella es posible comprar herramientas sofisticadas incluso como servicio. Por ejemplo ransomware as a service. Obviamente a través de la internet profunda (parte de internet no indexada en buscadores) se pueden realizar crímenes de mayor calado, como el tráfico de armas o de pornografía infantil.

4- Vulnerabilidad de los endpoint

La multiplicación de los endpoint (punto de conexión donde se exponen los archivos HTML o páginas Active Server: Un PC, una Tablet o un terminal TPV) ha hecho que cada vez se haga más hincapié en ellos. Los dispositivos móviles son cada vez más objetivos de ataques. Según los proveedores de seguridad, la presencia de ransomware en dispositivos móviles se multiplicó por 3 la primera mitad del 2017.

También podemos considerar importante la presencia mayor de dispositivos IoT, cada vez más desprotegidos. Y esta tendencia va a seguir en 2018.

5- Preparación para el RGPD

Por supuesto, la implantación del RGPD (Reglamento General de Protección de Datos), aunque se implantará en 2018, ya estaba aprobado con mucha anterioridad. Si el 2016 fue el año de la ignorancia respecto a esta normativa, el 2017 se puede considerar el de la información y el 2018 será de la concienciación y aplicación.

Algunos cambios que promoverá el RGPD:

  • Importancia de los sistemas de gestión y acreditación de consentimiento (que ahora debe ser activo y explícito)
  • Sistemas de cifrado y anonimización de datos, otro elemento que va a tener ocupados a los desarrolladores.
  • También, la normativa obliga al control del acceso a la información y a la prevención de la pérdida de datos en el perímetro de la empresa. De hecho, habrá obligación de informar en menos de 72 horas cuando se produzca una brecha de seguridad, tanto a la autoridad de protección de datos como a los afectados. Solo hay una excepción para esto, y es que la información perdida esté cifrada.
¿Quieres saber más de Gextor ERP?

¡SI TE GUSTÓ, COMPÁRTELO!
La información, el nuevo oro. Mantén tus datos a salvo

La información, el nuevo oro. Mantén tus datos a salvo

por | Mar 19, 2018 | Ciberseguridad

Artículo elaborado por Roberto Carrancio, especialista en seguridad en Extra Software.

Como técnicos hemos notado que desde hace aproximadamente un año se han incrementado las llamadas por virus en nuestros clientes. Es por esto que nos hemos decidido a escribir este artículo sobre ciberseguridad, con unas pautas básicas para que vuestros datos estén a salvo y vuestros sistemas funcionen como deberían.

Lo primero que tenemos que tener claro es qué fin tienen estos ataques para así saber qué y cómo protegernos. Existen diversos tipos de ataques, aunque en la actualidad los más comunes son el ransomware y los robos de información. Lo normal es que los ciberdelincuentes lancen los ataques para que afecten al mayor número de usuarios posibles por lo que no hay que pensar eso que tanto hemos escuchado de “Quién va a querer mis datos si somos una empresa muy pequeñita…”

Ransomware: golpe a la ciberseguridad

Como hemos comentado, este tipo de virus es el que más se está viendo últimamente, todos conocemos a alguien que ha sufrido un ataque de este tipo, ya sea en sus modalidades más antiguas como el virus de la policía allá por el 2012 o, el también conocido por todos, WannaCry, que el año pasado se propagó por más de 200.000 dispositivos en 150 países.

Tweet de la Oficina de Seguridad del Internauta con imagen de Saturno

Tweet de la Oficina de Seguridad del Internauta

Para prevenirnos de este tipo de virus, así como de cualquier otro te recomendamos las siguientes medidas:

Como usuarios, no debemos abrir mails sospechosos ni navegar por páginas web que podemos llamar “de reputación dudosa” (todos sabéis a qué tipo de web me refiero…) Para descargar aplicaciones lo haremos siempre desde la web de su fabricante y desconfiaremos de todos esos sitios que nos ofrecen de manera gratuita contenidos de pago.

Las contraseñas son como la ropa interior: no dejes que otros las vean, cámbialas con frecuencia y no las compartas con desconocidos.” Chris Pirillo

A nivel de los equipos, debemos mantener el sistema operativo, las aplicaciones y el antivirus actualizado. Siguiendo con estos consejos, activar el firewall de Windows puede ayudar, tanto para que no nos entre malware, como para que si entra no sea capaz de llevarse nuestra información. Si tenemos un firewall físico dedicado en nuestra red la protección será mayor. Por último, es imprescindible realizar copias de seguridad fuera de la red.

Robos de información: ¿cómo puedo defenderme?

Las fugas de datos se pueden dar de forma física, por medio de malware o porque un empleado lo filtre (no tiene por qué ser de manera intencionada). Defenderse físicamente es relativamente fácil, deberemos controlar el acceso a los equipos y servidores y usar por ejemplo filtros de privacidad en las pantallas de nuestros dispositivos. Los filtros de privacidad oscurecen tu pantalla evitando que la información sea visible a partir de un ángulo de visión de 30⁰, por lo que protege tu información de las miradas curiosas. Tu información es claramente visible cuando miras de frente, lo que te permite trabajar sin preocupaciones, incluso en espacios públicos. ¿De qué sirve usar aplicaciones que cifran nuestras comunicaciones si después dejamos que todo el mundo vea lo que estamos escribiendo?

pantalla filtro de ciberseguridad

Fuera del ángulo de visión del filtro de privacidad verán la pantalla como si estuviese apagada

Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado.” Eric S. Raymond

Para prevenirnos de aplicaciones malintencionadas, es importante que usemos todas las herramientas que tenemos a nuestro alcance, antivirus y firewall serán imprescindibles, así como definir unas pautas de buenas prácticas o tener unas políticas de seguridad correctamente configuradas. Una buena gestión de usuarios, con sus permisos de acceso bien definidos, limitarán en gran medida el alcance de los virus que a pesar de todos nuestros esfuerzos se cuelen en nuestra organización.

Como siempre decimos los que nos dedicamos a esto, una cadena es tan fuerte como su eslabón más débil y, en temas de seguridad informática, este siempre es el usuario. Es por esto que es importante llevar a cabo labores de concienciación y formación con nuestra gente para que estén lo más precavidos posibles y sepan cómo actuar en caso de infección. Esta formación podemos darla nosotros si estamos preparados o confiar en cursos de expertos en la materia como el que desde Extra Software vamos a impartir el 3 de mayo, con el título “¿Cómo proteger tus datos en Gextor?”. Si estás interesado en este curso ponte en contacto con nosotros indicando el nombre del curso, las plazas son limitadas.

¿Quieres saber más de Gextor ERP?

¡SI TE GUSTÓ, COMPÁRTELO!
Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 2)

Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 2)

por | Feb 14, 2018 | Ciberseguridad

Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software

En el artículo anterior sobre ciberseguridad empresarial poníamos el supuesto de David, un empleado de una empresa dedicada al comercio online. Para entrar en materia os voy a poner otra situación similar para tratar el tema de este artículo: La ingeniería social.

Una empresa dedicada al diseño y publicidad llamada Disecor (nombre ficticio) tiene una relación laboral con otra empresa dedicada al desarrollo de páginas Web, Webcor (nombre ficticio). Las dos empresas trabajan codo con codo en la elaboración de páginas Web. Cuando a Disecor le encargan un nuevo proyecto relacionado con el diseño Web, la parte de desarrollo Web del proyecto lo realiza Webcor, pagándole lo pactado en el acuerdo. Cuando el proyecto se lo encargan a Webcor, Disecor se encarga de la parte de diseño y en este caso es Webcor la que le paga lo pactado a Disecor.

La colaboración entre las dos empresas les ha hecho crecer mucho y darse a conocer. Llevan trabajando durante más de 5 años y nunca han tenido ningún problema. De repente, un día los pagos que debería realizar Webcor a Disecor por los proyectos realizados dejan de llegar.

El departamento de administración de Disecor se pone en contacto con el departamento de administración de Webcor para pedirles explicaciones de por qué han dejado de ingresar su porcentaje de los proyectos. Webcor les comunica que hace unos días recibieron un correo del CEO de Disecor comunicándoles el cambio de cuenta bancaria para los ingresos.

El CEO de Disecor dice que no ha mandado en ningún momento ese correo y que no han cambiado de cuenta bancaria. Pero que el día anterior le había pasado una cosa muy rara. Le había llamado un técnico de Microsoft para decirle que tenía un virus en su ordenador, que le tenía que dar acceso para poder limpiarlo y así lo hizo.

La ingeniería social, ataque a la ciberseguridad empresarial

Lo que le ha pasado al CEO de Disecor es que ha sido engañado mediante una técnica conocida como ingeniería social.

La ingeniería social es la práctica de engañar o manipular a un usuario para conseguir que revele información que es confidencial o que realice alguna acción deseada por el atacante.

En realidad, son engaños sutiles diseñados de manera que parece que procedan de un sitio o una persona de confianza. En algunosIngeniería Social casos utilizan información que nos resulta familiar o relacionada con nosotros para que bajemos la guardia y no sospechemos.

La ingeniería social se basa en cuatro principios básicos:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Ejemplos de ataques de ingeniería social

Unos ejemplos de ataques basados en ingeniería social serían los siguientes:

  • Suplantación de la empresa de servicios: Un atacante se hace pasar por su compañía de internet o su compañía de teléfono para pedirle sus datos de conexión, contraseñas, cuentas bancarias, etc.
  • Suplantación de una Autoridad: Un atacante se hace pasar por un agente de la policía, bombero o técnico de hacienda para solicitarle datos como nombres, teléfonos, etc.
  • Suplantación de una empresa de encuestas: Un atacante se hace pasar por una empresa de encuestas y solicitan sus datos para verificar la encuesta.
  • POP-UP maliciosos: Ventanas emergentes que piden instalar software o complementos en el ordenador para que puedan verse videos o programas, pero que realmente esconden software malicioso.
  • Phishing: Un correo electrónico o web falsa que se hace pasar por una persona o empresa de confianza (banco, Hacienda, etc.), en una aparente comunicación oficial electrónica. Al seguir las instrucciones que esta comunicación proporciona, acabamos siendo infectados o enviándoles nuestras credenciales de acceso al servicio.

Contramedidas

Podemos implantar medidas más o menos complejas o aplicar políticas de seguridad, pero tenemos que recordar siempre que es el empleado el que trata al final con la información de la empresa y el que tiene que cumplir con esa política.

El tratamiento de la información por parte de los empleados es necesario y se pueden producir situaciones de riesgo tanto de forma intencionada como no intencionada.

Una contramedida imprescindible es formar a los empleados en buenas prácticas de ciberseguridad empresarial.

Definir una política de ciberseguridad empresarial no es suficiente, ha de ser de cumplimiento obligatorio. Recordemos que la política de seguridad es solo tan buena como lo es su aplicación.

Recomendaciones importantes de ciberseguridad empresarial

Os dejamos algunas recomendaciones importantes a tener en cuenta:

  • No facilitar datos confidenciales por mensaje, teléfono o e-mail.
  • No instalar en los equipos programas de origen desconocido.
  • Al iniciar sesión en cualquier web, comprobar que la URL es correcta.
  • Comprobar el contenido de la web y si resulta sospechoso, no acceder a ningún enlace de dicha web.
  • Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.
  • Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas web.

RECUERDA SIEMPRE: Ningún banco, ninguna empresa con la que tengas un contrato en vigor, ni nadie ha de pedirte por email, por mensajes ni por teléfono datos confidenciales. Es decir , nadie te pedirá tus contraseñas, claves o coordenadas de cuentas corrientes, PIN o SVN de las tarjetas de crédito,…

Una cadena es tan fuerte como su eslabón más débil. El usuario es el eslabón más importante en la cadena de seguridad

¿Quieres saber más de Gextor ERP?

¡SI TE GUSTÓ, COMPÁRTELO!
Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 1)

Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 1)

por | Ene 24, 2018 | Ciberseguridad

Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software. Este artículo consta de dos partes. Ciberseguridad empresarial 2 será publicado el mes que viene.

David acaba de entrar a formar parte del departamento de administración de una pequeña empresa dedicada a la venta online de productos para mascotas. Lleva únicamente un par de meses, pero tanto su jefe como sus compañeros están muy contentos con su trabajo.

En la empresa están pensando en implementar el teletrabajo ya que la gestión de la tienda online se puede hacer directamente desde la Web. Únicamente se tienen que conectar a la empresa para la gestión del CRM y del ERP, la cual realizan mediante una intranet. Para David es una alegría ya que podrá disfrutar más tiempo con su familia.

Antes de activar el servicio, la empresa le crea a cada empleado un usuario con el que accederán remotamente a la oficina. La empresa tiene establecida una política de seguridad para el uso de contraseñas seguras. Para David es una lata, ya que ayer también le hicieron poner una contraseña de esas tan difícil de aprender, en un servicio de correo electrónico.

Para no tener que recordar tantas contraseñas, decide poner la misma que puso en ese servicio de correo. Además, ha pensado en crearse una cuenta en Linkedin y Twitter como tienen sus compañeros y así estar conectado con ellos… También utiliza esa misma contraseña para las dos cuentas y las vincula al correo que se había configurado anteriormente.

Para hacer más sencillo el teletrabajo, se configura en su móvil todas las cuentas, incluidas las de la empresa, así se puede conectar desde cualquier parte. David en su móvil no ha configurado ningún control de acceso, le parece una pérdida de tiempo innecesaria. Además, deja que Google Chrome le recuerde todas las contraseñas así no tiene que estar poniéndolas cada vez que quiera acceder.

Un viernes David sale de cena con los amigos, después de la cena se van a tomar unas copas a una serie de pubs. En el ajetreo y el vaivén de las copas, David, pierde el móvil en uno de los pubs, sin recuperarlo.

El lunes, al llegar al trabajo, le comunican desde el departamento de sistemas que desde el sábado por la mañana se ha estado accediendo a la empresa con la cuenta de David y les han sustraído toda la base de datos de clientes, información privada sobre la facturación de la empresa, los datos de todos los empleados y además todo esto ha sido publicado en un sitio llamado pastebin.com. Y esto no termina ahí, ya que se han estado realizando pagos no autorizados con la tarjeta de la empresa. A David lo primero que le viene a la mente es una pregunta:

¿Esto cómo ha podido pasar?

Lo que le ha pasado a David le puede pasar a cualquier trabajador, ya que es más habitual de lo que se piensa. Cuando se diseña una política de ciberseguridad empresarial se ha de tener en cuenta el factor humano, el cual suele ser el causante de un porcentaje muy alto en las fugas de información. Imagínate una empresa que hace un desembolso enorme en seguridad física y perimetral, antivirus, etc. Y viene un empleado conecta su pendrive donde tiene almacenada la música que le pasó un amigo el día anterior, infectando con un virus que llevaba incorporado el propio pendrive a toda la empresa. De nada les ha servido el desembolso tan grande en ciberseguridad.

Vamos a ver las posibles amenazas que supone el no tener en cuenta el factor humano en la ciberseguridad empresarial y cómo podemos defendernos.

 

¿Quieres saber más de ciberseguridad?

BYOD (Bring your own device o Trae tu propio dispositivo)

Cada vez es más frecuente en las empresas que los usuarios se lleven sus propios dispositivos: portátiles, móviles, tabletas, pendrives, etc., y que trabajen o traten con la información sensible de la empresa con ellos.

Por ejemplo, centralizar la información de la empresa en su móvil para no tener que llevar dos (personal y empresarial).

Estos dispositivos tratan la información con aplicaciones que normalmente no ofrecen las mismas medidas de seguridad que las orientadas a servicios de uso empresarial. Y aunque no se produzca ninguna fuga de seguridad, la empresa deja de tener control sobre donde están almacenados sus datos sensibles. Lo que puede llevar al incumplimiento de las normativas de seguridad como la LOPD o el GDPR.

Otro problema que pueden tener estos dispositivos es la capacidad de crear redes de uso personal, por ejemplo, crear un punto de acceso a través del Smartphone para dar Internet a otros dispositivos. Estos pueden ser usados por los usuarios para acceder a páginas que la empresa ha bloqueado: juego online, redes sociales, etc. Estas redes que se crean sin ningún tipo de seguridad por parte de los usuarios, suelen ser usadas muchas veces para acceder a herramientas de trabajo a través de ellas, pudiendo causar fuga de información de la empresa o entrada de malware a la misma.

El fenómeno BYOD va a ser un problema por lo menos durante los próximos 10 años.

Aunque estos dispositivos suponen una amenaza para la seguridad de la empresa, también tienen sus ventajas, como el incremento de la productividad de los empleados, debido a que se encuentran más cómodos trabajando con sus propias herramientas, y también el ahorro de costes para la empresa.

Para proteger la empresa en la medida de lo posible, de este y otros fenómenos, muchos organismos han creado la figura de lo que se conoce como Chief Security officer (CSO), que será el encargado de supervisar la implementación de un SGSI (Sistema de Gestión de la Seguridad de la Información) siguiendo algún estándar internacional. La implementación de un SGSI se puede realizar en varias etapas. Una de las etapas más importante es la de “Capacitar a todos los trabajadores sobre los riesgos de seguridad y en el manejo seguro del hardware y software y respecto a la seguridad física”.

POLÍTICAS DE CIBERSEGURIDAD EMPRESARIAL ORIENTADAS AL BYOD

Las prohibiciones o normas internas en la empresa sin más no suelen funcionar. Lo recomendable es definir unas políticas de seguridad. En el caso del BYOD podemos contemplar aspectos como:

  • Elección de contraseña segura obligando a que el usuario la cambie con frecuencia.
  • No reutilizar esta contraseña en otros servicios, ni internos ni externos. No apuntar la contraseña en ningún sitio ni facilitársela a nadie.
  • Antivirus, firewall y parches de seguridad actualizados en el dispositivo.
  • No almacenar información en dispositivos no controlados por la empresa, o hacerlo cifrando los datos y bloqueando el dispositivo con algún tipo de patrón: biométrico, pin, contraseña, etc.
  • Llevar en el dispositivo algún filtro de pantalla.
  • Cifrar la información enviada por la red.
  • No utilizar redes WiFi públicas, en caso necesario realizar la conexión por VPN.

En la segunda parte del artículo conoceremos otras amenazas a la ciberseguridad empresarial que tienen como vector de ataque el factor humano.

¿Quieres saber más de Gextor ERP?

¡SI TE GUSTÓ, COMPÁRTELO!