INGENIERÍA Y SERVICIOS IT, SEGURIDAD

ISO 27002

ISO/IEC 27002 es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

  1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de la información. Revisión de las políticas para la seguridad de la información.
  2. Organización de la Seguridad de la Información: Trata sobre la organización interna: asignación de responsabilidades relacionadas a la seguridad de la información, segregación de funciones, contacto con las autoridades, contacto con grupos de interés especial y seguridad de la información en la gestión de proyectos.
  3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones de los contratos. Durante la contratación se propone se traten los temas de responsabilidad de gestión, concienciación, educación y capacitación en seguridad de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de seguridad, como lo es des habilitación o actualización de privilegios o accesos.
  4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en tránsito).
  5. Control de Accesos: Se refiere a los requisitos de la organización para el control de accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones.
  6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de claves.
  7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras (perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario desatendido y política de puesto de trabajo y bloqueo de pantalla).
  8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
  9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
  10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
  11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
  12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
  13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
  14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

DERECHO INFORMÁTICO, SEGURIDAD

LOS RIESGOS EN REDES SOCIALES

Las redes sociales en la actualidad se han convertido en la principal herramienta y plataforma de comunicación a nivel global, siendo las más populares Facebook, Twitter, Google Plus, MySpace, WhatsApp y las emergentes SnapChat, Instagram, Pinterest entre otras. Estas redes conectan a más de dos mil quinientos millones de personas usuarias de todo el planeta, siendo una de las expresiones más claras de la tecnología y de su influencia en el comportamiento y los destinos de la sociedad actual.

socialmedia-pmSin embargo, de lo anterior se desprende la primera cuestión preliminar, “a mayor accesibilidad, mayor riesgo y a mayor riesgo, mayor necesidad de supervisión y control a nivel general.  Por eso a continuación nos permitimos enunciar algunos de los riesgos asociados a las redes sociales:

SUPLANTACIÓN DE IDENTIDAD

La suplantación de identidad en las redes sociales ocurre cuando alguien toma el nombre, cuentas o información personal de otra persona para hacerse pasar por ella. Para ellos utilizan perfiles falsos con el nombre y fotografía de la víctima.  La finalidad de esta puede asociarse a diversos delitos: estafas, extorsión, chantaje entre otros.

FRAUDE, PHISHING Y MALWARE

¿Cómo se realiza un fraude en una red social? Normalmente, los cibercriminales usan mensajes directos o publicaciones tentadoras con enlaces maliciosos o de phishing que a su vez contienen malware. Incluso teniendo las configuraciones de seguridad pertinentes, no estamos 100% seguro de estas amenazas: Si le han hackeado la cuenta a uno de sus amigos, dichos mensajes pueden provenir de alguna persona de confianza.

CIBERBULLYING O ACOSO CIBERNÉTICO

Las víctimas son en su mayoría adolescentes de entre 12 y 17 años, y las mujeres son más propensas a sufrir ataques. El Cyberbullying, maltrato o agresión a través de mensajes de texto, de voz, o de fotos, videos, audios, subidos a las redes sociales, afecta a millones de personas (especialmente a los jóvenes) alrededor del mundo, y preocupa a profesionales de la salud.

Las víctimas de acoso tienen más posibilidades de experimentar bajo rendimiento académico, depresión, ansiedad, sentimientos de soledad y cambios en los patrones de sueño y de alimentación, que podrían alterar su vida.

MIEDO A PERDERSE ALGO (FOMO, FEAR OF MISSING OUT)

FOMO o “miedo a perderse algo”. La expresión describe una nueva forma de ansiedad surgida con la popularización del móvil y las redes sociales, una necesidad compulsiva de estar conectados. En esencia, FOMO es la preocupación que los eventos sociales, o de cualquier otro tipo, puedan tener lugar sin que estemos presentes para disfrutar. FOMO se caracteriza por la necesidad de estar constantemente conectado con lo que hacen los demás, para no perderse nada. El intercambio de fotos y vídeos en las redes sociales significa que las personas experimentan una corriente prácticamente interminable de experiencias de otros, que potencialmente pueden alimentar los sentimientos de que se están perdiendo cosas.

VIOLACIONES, SECUESTROS O RAPTOS CON FINES DE EXPLOTACIÓN SEXUAL (GROOMING)

El grooming comprende todas aquellas conductas ejecutadas en línea por pedófilos o un pederasta (los groomers) para ganar la confianza de menores o adolescentes mediante la utilización de una identidad usurpada (generalmente de un “famoso”), fingiendo empatía, identidad de intereses o contención emocional, con la finalidad de concretar un abuso sexual.

Estos delincuentes utilizan las redes sociales como plataforma para tomar contacto con sus víctimas. Mediante mecanismos de seducción, buscan el intercambio de imágenes comprometedoras (de contenido sexual) que luego son utilizadas para extorsionar a las víctimas.

SUICIDIOS EN LOS JÓVENES

El principal factor que está ocasionando esta tendencia, tiene que ver con un aumento en el nivel de violencia, ciberbullying y acoso cibernético que se presentan en las redes sociales, así como la falta de regulación en el contenido de estos.

Las redes sociales más peligrosas para influir en los suicidios son Facebook y Twitter, debido a que los menores de edad tienen más facilidades para acceder a este tipo de redes dado que son las más populares.

PROBLEMAS LEGALES

Las personas no saben que todo lo que dice o se publica en las redes sociales puede tener repercusiones legales. Así que mucho cuidado con insultar, difamar o difundir rumores falsos. Tales contenidos pueden generar problemas relacionados con la protección de datos de carácter personal, la propiedad industrial e intelectual, el derecho penal y los derechos de la personalidad, el derecho laboral y la publicidad entre otros.

VIRUS INFORMÁTICOS MASIVOS

A través de redes de computadores infectadas (botnets), los ciberdelincuentes que usan las redes sociales infectadas pueden realizar diversas acciones, como el robo o secuestro de información, el control del sistema, la captura de contraseñas o sesiones activas e inclusive deteriorar el rendimiento del dispositivo infectado. Gusanos, troyanos y ransomware, son las variantes más conocidas en este campo.

PORNOGRAFÍA INFANTIL POR SEXTING, SECUESTRO Y TRATA DE PERSONAS

Cuando un menor se hace fotografías de carácter sexual puede provocar un deseo de encuentro a las personas a las que las llegue. Esto puede originar un abuso o corrupción del menor exponiéndole a chantajes sexuales o incluso generar encuentros pueden terminar en secuestro y trata de personas.

USO INDEBIDO DE FOTOGRAFÍAS

Los archivos de imagen capturados desde la cámara de un dispositivo moderno tienen un grupo de datos llamado Metadatos.  En cuanto publicas una imagen en las redes sociales, ésta escapa a tu control. Eso quiere decir que, si no tienes cuidado, cualquiera puede verlas y usarlas con fines delictivos.  De una simple foto compartida en redes sociales, los ciberdelincuentes pueden entre otras extraer:

Marca y modelo del equipo de donde la tomaron, fecha exacta cuando tomaron la foto, lugar exacto vía GPS donde tomaron la foto, número de tu tarjeta de crédito, nombre completo y empresa donde trabaja esta persona, el número de tu cedula.

FAKE NEWS (NOTICIAS FALSAS)

Las fake news se han puesto muy de moda en los últimos tiempos. Son noticias falsas que se difunden como la pólvora a través de las redes sociales. Que tienen dos características fundamentales: tener un objetivo claro y adquirir una apariencia de noticia real, precisamente para conseguir engañarnos.

El riesgo fundamental de las fake news, es que atacan a la reputación, ya sea de una empresa, una institución, o una persona concreta: “Una reputación que cuesta mucho crear, pero que con este tipo de prácticas es muy fácil destruir, y muy complicado volver a recuperarla”.

PROBLEMAS PARA ENCONTRAR TRABAJO

No es muy ético, pero no son pocos los departamentos de recursos humanos de compañías que buscan en las redes sociales más información sobre los candidatos a un puesto de trabajo. Es un filtro previo del que se habla poco, pero existe. Así que si eres de los que sube fotos personales a tu Facebook puedes descubrir que esa foto, borracho en la última cena de Navidad, no te beneficia mucho.

PÉRDIDA DE PRODUCTIVIDAD LABORAL

Las personas dependientes a las aplicaciones móviles pueden perder su productividad hasta un 25% por cuenta de la desconcentración en el trabajo u otras actividades.  Según estadísticas de estudios previos realizados, muestran que las personas dependientes a las aplicaciones móviles tienen 25% menos ingresos que aquellos que les dan un buen uso a las herramientas digitales y las aprovechan en su trabajo (App competentes).

De igual forma se comprobó en estudiantes que por cada hora de interacción en redes, se vio deteriorado el rendimiento académico en un 10%.

COMPARTIR TU UBICACIÓN DE FORMA INDEBIDA

Aunque a menudo no se le preste demasiada atención, la ubicación es una información sensible que mucha frecuencia se comparte públicamente en redes sociales e internet, con los riesgos que ello implica.

Los usuarios tienen que ser conscientes de que plataformas como Instagram, Facebook, Flickr o YouTube presentan textos, fotografías y videos que incluyen la posibilidad de añadir la localización del autor, una información que puede ser utilizada de forma ilícita.  Cuando compartes esa información:

  • Tu ubicación revela tu paradero en un momento concreto
  • También revela dónde no estás, poniendo las cosas muy fáciles a posibles ladrones
  • Puedes proporcionar datos sobre tus objetos de valor
  • Das información de otras personas o seres queridos que estén contigo

 

SEGURIDAD

ATAQUE DE DÍA CERO

Un ataque de día cero (en inglés zero-day attack o 0-day attack) es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.

Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades mediante diferentes vías de ataque. Por ejemplo, códigos en webs que revelan vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su amplia distribución y uso. Otra forma de aprovechar estos fallos es utilizar aplicaciones que abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el software se revelan en bases de datos como US-CERT. Se puede diseñar malware para aprovecharse de estos exploits y conseguir información confidencial como contraseñas bancarias.

Los ataques día cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que las solucionan. Normalmente estos parches son preparados por los propios responsables del programa defectuoso en cuestión (sobre todo con los programas de pago).

La línea de tiempo que se emplea para virus y troyanos (entre otros) es la siguiente:

  • Publicación del ataque o exploit al mundo
  • Detección y estudio del problema
  • Desarrollo de una solución al mismo
  • Publicación del parche (o firma del virus si procede), para evitar el exploit.
  • Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.

Este proceso puede durar horas o incluso días. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.

La protección día cero es la habilidad de proporcionar protección contra vulnerabilidades de día cero. Por ejemplo, para limitar los ataques día cero referentes a fallos en memoria, se usan técnicas como el desbordamiento de búferes. Estos mecanismos de protección se pueden encontrar en sistemas operativos actuales como Microsoft Windows, Solaris, GNU/Linux, Unix, SentinelOne y macOS.

Mediante métodos como el golpeo de puertos se proporciona seguridad frente a ataques en servicios de red, aunque estos sistemas de protección no suelen ser útiles para redes con gran cantidad de usuarios.

SEGURIDAD

DIFERENCIAS ENTRE SEGURIDAD INFORMÁTICA Y SEGURIDAD DE LA INFORMACIÓN

La diferencia más significativa entre estos dos términos se da en que la seguridad informática se refiere a la forma tradicional de asegurar activos relacionados con la infraestructura y tecnología que administra o gestiona la información de una organización. Básicamente este tipo de seguridad hace referencia al área de IT de una compañía la cuales la encargada de preservar equipos de cómputo, manteniendo el software y hardware actualizados con el fin de cumplir con los pilares de la información.

La seguridad de la información se refiere en la actualidad a un concepto mucho más amplio, ya que no solo tiene en cuenta la parte técnica, sino que compromete a toda la organización desde las altas gerencias, hasta el personal que realiza la parte operativa.

SEGURIDAD

CROSS-SITE REQUEST FORGERY

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.

Un ataque CSRF fuerza al navegador web validado de una víctima a enviar una petición a una aplicación web vulnerable, la cual entonces realiza la acción elegida a través de la víctima. Al contrario que en los ataques XSS, los cuales explotan la confianza que un usuario tiene en un sitio en particular, el cross site request forgery explota la confianza que un sitio tiene en un usuario en particular.

SEGURIDAD

LAMERS ( WANNABES ): SCRIPT – KIDDIES O CLICK – KIDDIES

Los lamers, también conocidos por script kiddies o click kiddies, son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.

Vieites, Álvaro. Gestión de incidentes de seguridad informática, RA-MA Editorial, 2014.

SEGURIDAD

CREADORES DE VIRUS Y PROGRAMAS DAÑINOS

Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas. Así, por ejemplo, a principios de febrero de 2006 se daba a conocer la noticia de que tres expertos informáticos rusos habían desarrollado y posteriormente vendido por 4.000 dólares el código de un virus capaz de explotar la vulnerabilidad del sistema de archivos gráficos WMF de Windows. Este código se expandió rápidamente a través de Internet, al insertarse en comentarios de determinados foros o en algunos programas y utilidades muy populares. Estas aplicaciones infectadas provocaban la instalación de varios programas spyware y adware en el ordenador de la víctima, así como otros códigos maliciosos.

Gómez, Vieites, Álvaro. Gestión de incidentes de seguridad informática, RA-MA Editorial, 2014.