Ocho tendencias de seguridad online para 2013

1. Los ataques a compañías pequeñas y anónimas se incrementarán, puesto que éstas están peor auditadas y menos protegidas y resultan fácilmente hackeables.

2. El malware móvil crecerá exponencialmente, sobre todo para los dispositivos Android, líder del mercado con un 64% del total: Los expertos lo tienen claro: si crece el número de usuarios de smartphones, crece el interés por atacarlo.

3. Tampoco Apple se salvará de los hackers. Según las previsiones de G Data Software,  el malware para Mac superará la “fase de pruebas” y los ataques al sistema operativo de Apple crecerán, haciendo mimbar también la confianza de los usuarios en la marca.

4. Las smart televisiones, televisiones con acceso a Internet, comenzarán a entrar con mayor brío en los hogares, con lo que también se popularizarán los ataques a estas plataformas.

5. Aumentará el código maligno, lo que hará necesario sistemas más robustos y procedimientos de backup y restauración, según asegura la empresa Spophos en el  “Informe de Seguridad 2013”.

6. Aumentará el cibercrimen y el ciberespionaje y quizás “estamos muy cerca de sufrir alguna catástrofe que afectaría a la economía mundial o a una infraestructura crítica”, según pronostica Art Coviello, presidente de RSA.

7. Los hackers incrementarán su grado de sofisticación, por lo que será necesaria una mayor colaboración entre empresas y organismos públicos.

8. En paralelo al aumento de los ataques, aumentará la importancia que las empresas y las administraciones le dan a la detección de los agujeros de seguridad y las vulnerabilidades de las webs y a las auditorías de seguridad online.

Lista elaborada a partir de los estudios de G Data Software y Sophos y las previsiones de Art Coviello, presidente de RSA.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

6 casos de hackers 'redimidos': Del pirateo a trabajar para grandes compañías

Kristin Paget, una antigua hacker que hace unos años trabajó para Microsoft reparando fallos de  Windows Vista, se encargará ahora de mejorar la seguridad del sistema operativo Mac OS, que opera a los equipos de Apple.

La evolución de Kristin desde el mundo hacker hasta el entorno de las grandes compañías, que puede sorprender a los neófitos en la seguridad online, no es ninguna novedad. Muchos otros hakers han sido fichados en los últimos años por grandes empresas que desean aprovechar el talento y los conocimientos de kackers expertos en detectar agujeros de seguridad.

Existen incluso ejemplos de hackers que han sido contratados por las propias empresas a las que previamente habían atacado, como es el caso de Nicholas Allegra, alias Comex, un hacker que ganó notoriedad cuando creó una web que permitía hacer 'jailbreak' en el iPhone de forma sencilla, como miembro del iPhone Dev Team. El 'jailbreak' es un sistema para liberar el iPhone y ejecutar código casero, no autorizado por Apple. Después de esto, empezó a trabajar para Apple.

Security Guardian, en la web de las startups

Antonio San Martino, CEO y fundador de Security Guardian, ha sido entrevistado en Eureka Startups, una plataforma especializada en informar sobre startups, proyectos y negocios en internet llevados a cabo por emprendedores. En ella el máximo responsable de la empresa de soluciones en seguridad informática cuenta cómo fueron los inicios de la startup y cómo y por qué decidió que debía apostar por ella.

Si quieres leer la entrevista, haz clic:

Entrevista con Antonio San Martino en Eureka Startups

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Estos fueron los dos principales intentos de fraude online a principios de año

Agencia Tributaria y Policía. Ellos fueron los “cebos” elegidos por los hackers para tratar de engañar al usuario de Internet y cometer un fraude. Así lo refleja el estudio publicado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) sobre la incidencia del fraude online en el primer cuatrimestre de 2012. Desde Security Guardian, hemos querido resumir las principales conclusiones.

En el primer caso, la campaña de fraude se basaba en la imagen de la Agencia Tributaria y tuvo gran repercusión durante los meses de febrero a abril y de ella advirtió la propia Agencia Tributaria en su web.

La campaña consistía en unos envíos de correos fraudulentos, conocidos como “phishing”, en los que se hacía referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail saldría supuestamente beneficiado. Para poder disponer del dinero había que acceder a una dirección web en la que se tenían que aportar datos de cuentas bancarias y tarjetas de crédito.

El segundo estuvo protagonizado por el ransomware (malware que secuestra funciones del equipo) denominado “Virus de la Policía”, que consistía en la infección y posterior extorsión al usuario bajo la promesa del desbloqueo del sistema.

El virus tuvo una gran propagación, y la propia Policía remitió al portal Hispasec para que los usuarios apuraran sus medidas de protección o de desinfección. La prevención, ene este caso como en tantos otros, pasaba por evitar ejecutar archivos desconocidos, y actualizar el software para que no contuviera vulnerabilidades. Además, también es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar el nuestro sistema. Lo explicaba el Hispasec.

Algo de gran importancia, puesto que los internautas, volviendo a las conclusiones del estudio del Inteco,  siguen percibiendo situaciones que pueden suponer fraude (si llegan a consumarse), como por ejemplo recibir emails que invitan a visitar páginas webs sospechosas (un 37,4% de los usuarios así lo indica) o promocionan servicios no solicitados (un 30,8%).

La buena noticia es que pese a estas nuevas familias de malware el nivel de infección por malware destinado al fraude en España parece haberse estabilizado. En abril de 2012, un 38,3% de los ordenadores en el país alojaba algún tipo de troyano, un 4,4% troyanos bancarios y un 4%, rogueware (malware “bandido” o falso antivirus). Destaca el repunte experimentado en enero en el caso de los troyanos y rogueware, si bien en los tres meses posteriores los valores se recuperaron.

Sin embargo, la incidencia del fraude online disminuyó a comienzos de 2012, como puede verse en el gráfico. En primer lugar, se observa menor proporción de situaciones que pudieran derivar en fraude, como afirma un 52,9% de los usuarios entrevistados, lo que supone un cambio de tendencia con respecto a finales de 2011 (cuando esta proporción alcanzaba el 58,4%). En segundo lugar, disminuye la incidencia del fraude online con perjuicio económico que, por primera vez, se sitúa por debajo del 3% en los últimos tres años (desde INTECO se realiza este diagnóstico).  

Evolución del fraude online entre 2009 y 2012 según Inteco.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

5 (+1) frases para el debate sobre seguridad online

1. “Nuestra vida diaria es casi enteramente dependiente de los sistemas interconectados, lo que nos hace vulnerables ante individuos, instituciones y naciones maliciosas, quienes han incrementado su capacidad para desatar devastadores ciberataques de forma remota y anónima”.

W. Lee Howell, director gerente y máximo responsable del Centre for Global Events and Risk Response Network del World Economic Forum.

2. "No podemos poner puertas al campo: cualquier producto que sale al mercado presenta vulnerabilidades y cualquier vulnerabilidad del mundo constituye una puerta de entrada a la amenaza".

Luis Delgado Jiménez, consultor de seguridad

3. "La conciencia de la necesidad de aplicar medidas integrales para la protección de sus activos aumenta, pero sólo se alcanza una conciencia real cuando se materializa el incidente".

Manuel Escalante, director general del Inteco

4.“El ser o no hackeado depende de quién gana la carrera entre atacante y administrador. Si nuestro negocio estuviera basando en la página web y un posible ataque puede producirnos pérdidas económicas o afectar negativamente a la imagen corporativa no quisiéramos que la supervivencia del negocio dependiera de quien llega antes".

Antonio San Martino, CEO y fundador de Security Guardian. Ph Doctor, ingeniero Superior en Informática

5. "Las mismas precauciones que tomamos en el mundo físico para que no nos atropelle un coche, son las que hay que tomar en el mundo virtual porque al final la conducta de la gente es la misma".

Capitán César Lorenzana, Grupo de Delitos Telemáticos de la Guardia Civil.

Y una más...

5 + 1. “La prosperidad económica de América en el siglo XXI dependerá de la ciberseguridad”.

Barack Obama, presidente de los Estados Unidos

Nuevos sellos de seguridad online para pequeñas webs

La empresa de soluciones de seguridad informática Security Guardian ha ampliado su cartera de productos con la incorporación de dos nuevos sellos de certificación de seguridad y confianza online para páginas webs. Se trata de las versiones Personal y Personal S, dirigidas principalmente a trabajadores autónomos que utilizan su web para exponer e informar sobre su trabajo o para pequeñas startups que precisen de un mínimo de seguridad invirtiendo tan solo 100 euros.

Y es que, según explica el dr. ingeniero Antonio San Martino, fundador y CEO de Security Guardian, el objetivo ha sido precisamente “crear estas versiones para que las pequeñas paginas web personales, frelance, puedan cubrir sus necesidades con los recursos que tengan a disposición”. Porque, explica el emprendedor, “las pequeñas páginas web que invierten poco en seguridad normalmente son las más vulnerables y las que primero se ven comprometidas”.

El riesgo es elevado. De hecho, según apunta San Martino, “en las diferentes pruebas realizadas por Security Guardian se ha detectado alguna vulnerabilidad en el 90% de las webs, y tres de cada cuatro vulnerabilidades halladas son críticas”.

El sello de seguridad Personal consiste en un servicio de certificación de privacidad, seguridad y confianza para websites diseñado para pequeñas páginas personales que necesitan un nivel mínimo de seguridad. La versión Personal efectúa un escaneo de vulnerabilidades anual para hallar y permitir corregir las vulnerabilidades en la web.

El sello de seguridad Personal S efectúa escaneos de vulnerabilidades semestrales, proporciona el sello de certificación de sitio web “b” y envía un informe mediante correo electrónico que contiene las vulnerabilidades críticas detectadas.

Estos dos nuevos sellos de seguridad se suman a las versiones con las que la compañía ya trabajaba: Small Business, Lite, Enterprise, Platinum y Scan on Demand.

La versión Small Business, que efectúa escaneos de vulnerabilidades mensuales, está pensada para pequeñas páginas personales que necesitan un nivel estándar de seguridad. 

La versión Lite efectúa escaneos de vulnerabilidades  semanales y está pensada para pequeñas empresas  con páginas web dinámicas sin venta online y/o con la necesidad de alcanzar un buen nivel de seguridad.

La versión Enterprise proporciona una herramienta para la gestión y permanente monitorización de la seguridad del sitio Web / tienda en línea / servicio en línea gracias al escaneo de vulnerabilidades diario que asegura un alto nivel de seguridad.

Por último, la versión Scan on Demand permite al usuario planificar los escaneos de vulnerabilidades para el website. La planificación es totalmente parametrizable por parte del cliente. Esta versión es muy útil, por ejemplo para comprobar la seguridad de un sistema en cualquier momento, como el caso de un nuevo servicio Web o de un sistema que ha sido actualizado o modificado.

A todas estas versiones se ha añadido ahora la versión Platinum, con un escaneo de vulnerabilidades diario que se realiza en el servidor de producción y de preproducción, por lo que se detecta la vulnerabilidad antes de que se suba en producción proporcionando de esta forma el máximo nivel de seguridad alcanzable.

Security Guardian es una empresa de soluciones de seguridad informática con dos líneas de negocio. Además de sello de seguridad y confianza online para páginas web y servicio de escaneo de vulnerabilidades de la web, ofrece servicios de consultoría (auditoría de seguridad para redes corporativas, páginas Web, aplicaciones móviles Android e IoS, análisis de riegos, análisis forense, respuesta a incidentes, consultoría e investigación de delitos informáticos, etc).


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Nuevo máximo histórico del comercio electrónico: Que no te pille en fuera de juego

El comercio electrónico en España alcanzó en el segundo trimestre de 2012 un volumen total de facturación de 2.640,8 millones de euros, un 13,7% más que en el mismo periodo de 2011. Este registro supone un nuevo máximo histórico, según el último Informe sobre el comercio electrónico a través de entidades de medios de pago publicado este martes por la Comisión del Mercado de las Telecomunicaciones.

En total, durante el segundo trimestre de 2012, se contabilizaron 36,7 millones de transacciones, idéntica cifra que en el trimestre anterior, lo que supone un crecimiento interanual del 17%.

El montante económico generado se distribuyó principalmente entre agencias de viajes y operadores turísticos (13,8%) y el transporte aéreo (13,8%). Les siguieron en la clasificación de ramas de actividad con mayor volumen de negocio el marketing directo (6,5%), el transporte terrestre de viajeros (4,8%), los juegos de azar y apuestas (3,5%), los espectáculos artísticos, deportivos y recreativos (3,4%), la publicidad (3%) y las prendas de vestir (2,5%).

El ecommerce, pues, es un nicho de negocio en auge que puede ser aprovechado en un contexto económico en el que la mayoría de sectores sufren parones o descensos en sus cifras de facturación.

Para sacar rédito del comercio electrónico, sin embargo, es imprescindible inspirar confianza al consumidor, (econfianza): que no tema navegar por una web de venta electrónica y, sobre todo, que no tema desvelar sus datos bancarios en ella. De hecho, como apuntábamos en un post reciente, el 64,5% de los internautas no compradores justifica su rechazo al comercio online por el miedo a dar datos personales por Internet, el 58,8% no se fía y no le parecen seguros estos canales y el 48,3% siente desconfianza ante las formas de pago. Unos porcentajes elevados que no nos deberían extrañar sabiendo que la mayoría de empresas con web no realizan escaneos de vulnerabilidades para certificar la seguridad de su portal. El hecho de que tantas páginas webs sean hackeables interfiere en las confianza de los consumidores, que dejan de comprar o de realizar operaciones online porque no confían en algunas webs.

Por eso insistimos en la importancia de que las páginas webs estén convenientemente auditadas, que se les realicen escaneos de vulnerabilidades de forma periódica o bajo demanda para que estas puedan certificarse como “seguras” mediante el sello de confianza y seguridad online de Security Guardian. Facilitar a los hackers que ataquen nuestra web por no haber realizado una mínima inversión en seguridad puede significar pérdidas millonarias para nuestro negocio y, peor aun, puede dejar herida de muerte la reputación de nuestra empresa.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Entrevista con Manuel Escalante, director general del Inteco: "El hacktivismo supone el 58% de los ataques a webs" (II)

Segunda parte de la entrevista concedida por Manuel Escalante, director general del Inteco, al blog de Security Guardian.

5. ¿Cuáles son las principales amenazas a las que se puede enfrentar una web?

El desarrollo de la Sociedad de la Información ha dado lugar a una diversificación en la motivación de las amenazas. En este sentido, además de considerar un robo directo de información de datos personales o estratégicos que puedan derivar en un beneficio económico para el atacante, fenómenos de carácter más social tienen también una importante presencia, como es el caso del hacktivismo que supone el 58% de los ataques según datos a nivel internacional.

Además, la inyección de código malicioso en una web como mecanismo intermedio a través del que infectar y comprometer datos o equipos de los usuarios que la visiten es también una casuística que vemos frecuentemente.

Manuel Escalante, director general del Inteco.

6. ¿Hay muchas webs comprometidas en España?

La detección y el reconocimiento del compromiso de páginas web en España es uno de los focos del esfuerzo del trabajo que venimos realizando en INTECO. Concretamente, ya desde 2007 hemos venido trabajando en una atención especial a los dominios .es a través de una activa colaboración con red.es.

Evitar el compromiso de una web implica la necesidad de activar mecanismos que provean de ciertas capacidades de monitorización y detección temprana no sólo de posibles compromisos consumados sino también de las vulnerabilidades que pudiesen ser explotadas posteriormente para tal fin.

Nuestros esfuerzos se orientan por tanto en ambas direcciones: proporcionar una alerta temprana de compromisos consumados e identificar vulnerabilidades comunes antes de que sean explotadas.

7. Ataques a páginas web. ¿Incrementa o decrece el ritmo de ataques?

Se incrementa. El ritmo de ataques crece muy rápidamente en número y en complejidad y gravedad de su impacto.

Si bien, este crecimiento viene inevitablemente unido a la oportunidad que supone el desarrollo y generalización del uso de los servicios de la Red.

Hay que tener en cuenta que el aumento en el número contabilizado de ataques e incidentes responde también a un aumento en la capacidad y conocimientos para reconocerlos.

Aunque el ritmo de ataques pueda crecer, reconocer la importancia de la ciberseguridad como elemento clave para el desarrollo de nuestra sociedad es muestra de que ya hemos asumido el reto que todo ello supone.


8. Social Media, Cloud, Big Data, aplicaciones móviles... ¿De dónde vienen las principales amenazas para la seguridad de una empresa?

La generalización de la ciberseguridad a todos los sectores que comentábamos al principio de esta entrevista es en realidad consecuencia de la generalización de las amenazas a las diferentes plataformas, mecanismos de comunicación y herramientas que utilizamos en nuestro aprovechamiento de la Sociedad de la Información.

En este sentido, la oportunidad de comunicación que suponen las redes sociales se convierte también en un vector de exposición de información que debemos gestionar convenientemente. El aprovechamiento de las ventajas que proporciona un servicio de cloud bien diseñado y contratado es también un factor a valorar desde una actitud receptiva. Respecto a las plataformas móviles, debemos ser conscientes de que son plataformas menos maduras que los sistemas operativos de las plataformas habituales con especial impacto en la madurez de su seguridad. Ante esto, nuestra perspectiva apunta a la precaución y a la realización de un análisis de riesgos adecuado que permita valorar y gestionar adecuadamente su integración en entornos corporativos.

Además de la evolución de canales de comunicación y modalidades de servicio, la profesionalización del malware, presente en un 69% de los ataques registrados, hacia lo que se han denominado Amenazas Persistentes Avanzadas (APTs) supone una amenaza muy relevante para la seguridad de la empresa. Aunque este tipo de amenazas tiene un público objetivo definido, orientado sobre todo al robo de información estratégica y de propiedad industrial, su carácter silencioso y la complejidad de su especificidad hace de las APTs un reto que requerirá de un esfuerzo constante y también muy profesionalizado.

En cualquier caso, una de las claves del éxito de las estrategias de prevención y protección de nuestras empresas es sin duda la aplicación de una perspectiva integral que contemple tanto la explotación de nuevos canales y modalidades de servicios como las amenazas específicas de su ámbito.


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Entrevista con Manuel Escalante, director general de Inteco: “Solo se alcanza una conciencia real sobre seguridad online cuando se materializa un incidente” (I)

Nacido en 1972, Manuel Escalante es Ingeniero Superior de Telecomunicaciones por la Escuela Técnica Superior de Telecomunicaciones de la Universidad Politécnica de Madrid, y ha formado parte del equipo de Inteco desde junio de 2006 desempeñando el papel de director de Operaciones. Desde marzo de este año es el director general de esta entidad tecnológica. Con él analizamos algunos de los retos de las empresas españolas en materia de seguridad online.

Estos son, para ir abriendo boca, alguno de los titulares que nos deja esta primera parte de la entrevista que ha concedido al blog de Security Guardian:

"El 56,3% de las empresas dispone ya de personal dedicado a garantizar la seguridad de la información"

"Los niveles de concienciación en España están en la media del resto de países europeos"

"La preparación de las empresas frente a ciberataques requiere también de un verdadero entrenamiento:los ciberejercicios"

1. ¿Están las empresas españolas suficientemente concienciadas de la importancia de la seguridad online?, ¿consideran que invertir en seguridad es una inversión o creen que es sólo un coste?

Los últimos estudios de INTECO en esta materia recogen que el 56,3% de las empresas dispone ya de personal dedicado a garantizar la seguridad de la información y que un 4,0% tiene profesionales internos que se dedican exclusivamente a dichas tareas. Sin duda, el reconocimiento de la ciberseguridad como necesidad viene acompañado de una evolución hacia la seguridad como una oportunidad y no sólo como un coste. Evolución que marca también la estrategia de las empresas españolas.

No obstante, a través de nuestro contacto con las empresas y sus incidentes seguimos constatando que la percepción del riesgo es aún baja. La conciencia de la necesidad de aplicar medidas integrales para la protección de sus activos aumenta, pero sólo se alcanza una conciencia real cuando se materializa el incidente. A partir de ese momento sí estamos viendo cómo se corrigen, por ejemplo, inadecuadas estrategias de outsourcing que han derivado en una deslocalización de la interlocución, gestión del servicio y por tanto, de su seguridad, que terminan siendo elementos facilitadores del propio incidente.

El año 2012 ha sido clave en la generalización de la conciencia de la importancia de la ciberseguridad. Esta conciencia se extiende a todos los sectores y a nivel nacional e internacional, reconociendo la seguridad en la Red como un pilar básico para el desarrollo de nuestra sociedad, para la actividad y competitividad de empresas y administraciones y como una garantía de libertad para los ciudadanos.

El apoyo de los órganos competentes en esta materia se constata a través de los documentos que marcarán la orientación estratégica y táctica del Gobierno de España en el ámbito de la ciberseguridad en los próximos años: la Agenda Digital para España y la Estrategia Española de Ciberseguridad.

Como muestras concretas, destacar la inclusión en la propuesta de Agenda de la necesidad de reforzar la confianza en el marco digital como uno de sus siete objetivos, la consolidación de INTECO como centro de excelencia en esta materia y el esfuerzo dedicado a lo largo de este año para el desarrollo de la Estrategia Española de Ciberseguridad.

2. ¿La conciencia de la importancia de la seguridad es mayor en el resto de Europa?

Los estudios realizados a nivel europeo sobre esta materia reconocen unos niveles de concienciación en España en la media del resto de países europeos. Destacando como el país con mayor porcentaje de interés o conciencia de los usuarios ante la seguridad de su información personal en la web.

En España se trabaja activamente en la concienciación, en la línea del resto de Europa. Por ejemplo, el pasado mes de octubre ha tenido lugar el Mes Europeo de la Seguridad Cibernética de la ENISA (European Network and Information Security Agency). INTECO ha sido el representante español en esta iniciativa piloto en la que se han desarrollado diferentes acciones de concienciación junto a otros 7 países de la Unión: República Checa, Luxemburgo, Noruega, Rumanía, Eslovenia, Portugal y Reino Unido.

La alineación a este respecto con el resto de Europa podemos asegurarla también gracias a la presencia de INTECO en el Management Board de la ENISA. De esta forma, tenemos a nuestro alcance un canal para compartir conocimiento y experiencia y participar en el diseño de iniciativas encaminadas al fortalecimiento de la seguridad en la Red con una perspectiva transnacional. Perspectiva necesaria en ámbitos que no entienden de fronteras, como es el caso de la ciberseguridad.

El compromiso del Gobierno con esta labor es palpable además a través de la presencia de las labores de concienciación en los documentos estratégicos que ya he mencionado: Agenda Digital para España y Estrategia Española de CiberSeguridad.

3. El 42 % de las empresas españolas no está preparada frente a ciberataques. Un punto por encima de la media europea. ¿Qué hacemos?

Seguir trabajando. Además de los planteamientos estratégicos y tácticos ya mencionados, la preparación de las empresas frente a ciberataques requiere también de un verdadero entrenamiento; entrenamiento que en el ámbito de la seguridad de la Red se concreta en forma de ciberejercicios.

En este ámbito, desde INTECO hemos participado en acciones de este tipo a nivel europeo como es el caso de CyberEurope 2012; una iniciativa enfocada en la reacción ante ciberataques en el ámbito de la administración de la Unión Europea.

Con la experiencia y conocimiento adquiridos, y en colaboración con ISMS Forum, hemos participado en unos ambiciosos ciberejercicios sobre infraestructuras del sector privado español desarrollados el pasado mes de octubre y que suponen la primera iniciativa sobre ese tipo de infraestructuras a nivel europeo.

Como ya he comentado, somos conscientes de que la mejora en la percepción del riesgo por parte de las empresas es una tarea que sigue requiriendo de nuestros esfuerzos y en ello seguiremos también trabajando.

4. Muchos internautas confiesan que siguen sin realizar compras online por miedo, ¿qué mensaje se les puede lanzar?

El mensaje que debemos hacer llegar tiene que ser positivo, debemos animar a disfrutar de las ventajas y oportunidades que ofrece la Sociedad de la Información, sin renunciar en ningún caso a la eficiencia, mejora competitiva y desarrollo que supone su aprovechamiento.

Si bien, en nuestro mensaje también debemos hacer hincapié en el hecho de que, en este mundo digital, debemos saber comportarnos o movernos con garantías. Para ello, la primera consigna sería utilizar el sentido común; sentido común para reconocer los entornos confiables y actuar con prudencia cuando tenemos dudas.

Este es un mensaje en el que venimos trabajando en INTECO desde su creación y que la mencionada Agenda Digital para España vuelve a reconocer como pilar clave para el desarrollo de la Sociedad de la Información y, en definitiva, de nuestra sociedad en general.

El impulso de la confianza debe venir avalado por la información y la atención ante cualquier incidente, en caso de que éste se produzca; en INTECO tenemos abierta la Oficina de Seguridad del Internauta, que es un canal a disposición de todos, para seguir avanzando en esta tarea.

Hasta aquí la primera parte de la entrevista con Manuel Escalante. En el próximo post publicaremos el resto de la entrevista, en la que el máximo responsable de Inteco nos deja titulares como este: "El ritmo de ataques crece muy rápidamente en número y en complejidad y gravedad de su impacto".

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Tres falsas creencias sobre seguridad online que pueden poner en peligro tu web

Para cualquier profesional de la seguridad online parecerá increíble, pero lo cierto es que un número reducido de empresas efectúan escaneos de vulnerabilidades o pruebas de seguridad en su web. Así lo pone de manifiesto un trabajo publicado por el doctor Antonio San Martino, fundador y CEO de Security Guardian, en Sogeti. 

Explica San Martino en el artículo que, según experiencia recogida por la propia empresa, muchos webmasters consideran que usando un gestor de contenidos (CMS)  como Prestashop, Joomla, osCommerce, Drupal u otros,  sería suficiente una dedicación de pocas horas al mes para gestionar la seguridad del CMS y actualizarlo. Primera falsa creencia que puede poner en peligro tu web. En primer lugar porque el trabajo de un  programador no es simplemente adaptar un CMS, actualizarlo, sino que también hay desarrollos propios que se basan en un CMS y que pueden tener vulnerabilidades. Y cuando salta una vulnerabilidad, la seguridad de un CMS puede ser potencialmente comprometida. La seguridad de una web, por lo tanto, debe ser controlada y revisada periódicamente, puesto que los hackers pueden estar detrás.

Así, algunas empresas facilitan el trabajo de los atacantes informáticos al no prevenirse de ellos. Y muchas veces es por desconocimiento. Según este mismo estudio de San Martino,  muchos responsables de marketing no saben si su web está suficientemente auditada y confían en que su empresa de hosting ya se encargue de eso. Segunda falsa creencia. No suele ser así. Entre otras razones, porque legalmente no está permitido efectuar escaneos de vulnerabilidades o auditorías de seguridad online sin el permiso del dueño. Y además porque se necesitan profundos conocimientos de seguridad tanto para realizar auditorías manuales de seguridad como para interpretar los resultados de escaneos de vulnerabilidades automatizadas y solucionar correctamente las  vulnerabilidades detectadas.

Así pues, Security Guardian ha detectado una situación donde muchos de los propietarios de páginas web pueden tener la creencia equivocada de que la seguridad de su portal estaba incluida por defecto en el hosting o proporcionada por el profesional o empresa que les mantiene su web.

Y si esto no es así, que puede no ser así, la seguridad de la web está seriamente comprometida, con lo que eso puede suponer de pérdidas en reputación y ventas de una empresa.

Porque, y esta es la tercera falsa creencia que puede poner en peligro tu web, no es cierto que los ataques de hackers sean poco frecuentes. Según estudios recientes, cada día se producen 3,4 millones de ataques de malware. Además, los casos de fraudes online y malware aumentaron por encima del 50% en octubre con respecto a la media del año. Así, octubre se convirtió en el peor de los últimos 15 en lo que a fraude online se refiere, y el número de incidentes aumentó un 27% respecto a septiembre.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

¿Cómo de fácil resulta hallar los agujeros de seguridad de las redes sociales?

La semana pasada fue Twitter. Miles de usuarios recibieron un correo electrónico en el que Twitter les obligaba a cambiar la contraseña, lo que hacía presagiar que la red de microblogging había sufrido un ataque hacker masivo. Twitter no ha explicado aun cómo se produjo el ataque pero sí lanzó el viernes un comunicado aclaratorio donde reconocían que se excedieron al mandar los emails y los enviaron a más cuentas de las que en realidad habían sido comprometidas.

Nube de etiquetas

Pero no es el primer problema con los hackers del servicio de microblogging.

En mayo de este año, los nombres de acceso y las contraseñas de 55.000 usuarios de Twitter fueron publicadas en Internet, lo que demostró los importantes agujeros de seguridad de la red. Llovía sobre mojado, un mes antes,  en abril, se había producido una campaña de spam en Twitter mediante la cual se intentaba engañar a los usuarios para que instalaran un falso antivirus Windows. Así, los hackers lograban redireccionar a los usuarios de la red de los 140 caracteres a páginas web maliciosas que explotaban vulnerabilidades en plugins de navegadores para que se instalaran falsos antivirus.

El 21 de septiembre de 2010 ya había habido un ataque masivo a Twitter mediante un gusano llamado Rainboww43 que afectaba a los usuarios con una vulnerabilidad XSS (Cross-Site Scripting) para robar sus cookies. En este caso, los usuarios recibían un mensaje con una cadena extraña y, al pasar por encima con el puntero, era posible redirigir a cualquier persona que visitara el perfil a una página web; algo muy peligroso, puesto que tras el redireccionamiento a otra web ésta podía infectar el ordenador.

Pero los problemas de seguridad no son exclusivos de Twitter. También Linkedin, la mayor red profesional del mundo, sufrió en junio pasado uno de los mayores ataques de seguridad de su historia al robar un hacker 6,5 millones de contraseñas de los perfiles de sus usuarios y publicarlas en un foro de Internet. La compañía inmediatamente reconoció el fallo y aconsejó a los usuarios que cambiaran sus password. Poco después, el mismo pirata informático robó 1,5 millones de passwords de la página web de citas por Internet eHarmony, muy popular en países como Estados Unidos.

Como se ve, ni los gigantes online están libres del peligro. Y si ellos se ven comprometidos, más lo están las webs de las pequeñas empresas, frecuentemente demasiado vulnerables. Por eso es recomendable revisar la seguridad de cada web de forma periódica, constante y metódica. Porque la seguridad no es un estado, es un proceso.


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

¿Quieres evitar el ataque del virus 5N de Anonymous? Así funciona el gusano

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha catalogado el virus Worm.Multi/5N, un troyano que afecta a la plataforma Windows. Se trata de un gusano para la plataforma Windows que el día 5 de noviembre de cualquier año vuelve inmanejable el sistema infectado, mostrando una imagen de la careta de Anonymous e impidiendo al usuario usar su equipo a lo largo de ese día.

El gusano es un "acto reivindicativo" de origen español por el cierre de Megaupload por parte del FBI y  pretende  "paralizar el mundo" hoy 5 de noviembre, según explica un video en Youtube.

El virus en sí es inofensivo ya que no borra ningún fichero ni roba información del equipo infectado, pero los días 5 de noviembre de cada año cambia la imagen de fondo del escritorio por el de una careta de Anonymous y vuelve "materialmente inmanejable" el equipo ya que hace aparecer, de forma continua, botones de apagado de Windows justo donde se encuentra el ratón, de manera que cualquier clic del usuario, apaga el ordenador, alerta el Inteco.

El virus fue creado el pasado mes de abril y desde entonces ha infectado a más de 1.200 equipos en España que previsiblemente deberían mostrar sus efectos este 5 de noviembre.

Pero, ¿quieres saber cómo funciona este virus? Te lo contamos, de la mano de Inteco.

El gusano puede llegar al sistema de múltiples formas: Descargado sin el conocimiento del usuario al visitar una página web maliciosa, descargado de algún programa de compartición de ficheros (P2P) o a través de unidades extraíbles infectadas.

Al ejecutarse, lo primero que hace el programa es comprobar si se está ejecutando en el directorio raíz de una unidad extraíble y si existe una carpeta con el mismo nombre que el archivo ejecutable, en cuyo caso abre una instancia del explorador de Windows con el contenido de dicha carpeta. Con ello el código dañino simula la apertura normal de las carpetas de los dispositivos infectados, pasando así inadvertida la infección del equipo a los ojos del usuario.

Posteriormente comprueba si ya existe otro proceso del propio código dañino ejecutándose en el sistema, en cuyo caso finaliza la ejecución. Para ello consulta los nombres de los procesos en ejecución, y los compara con las cadenas ‘drmvclt’, ‘5N’ y ‘5N.vshost’. Además, en caso de estar ejecutándose desde el directorio/carpeta raíz de una unidad extraíble, los compara también con los nombres de las carpetas existentes en el directorio/carpeta raíz de dicha unidad.

A continuación recopila la información del sistema, almacenándola en un archivo que posteriormente envía mediante FTP al servidor "ftp.drivehq.com", tal y como se explicó anteriormente.

El gusano está en todo momento monitorizando los eventos de conexión/desconexión de dispositivos extraíbles, para proceder o no a la infección del dispositivo extraíble.

El código dañino contiene una serie de temporizadores, componentes que ejecutan una función concreta cada cierto tiempo.

Para prevenir la infección, lo mejor es evitar visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. También es conveniente mantener actualizado el navegador y el sistema operativo con los últimos parches que se hayan publicado. Como es lógico, el ordenador debe tener un antivirus actualizado en sus sistemas.

Anonymous es un seudónimo utilizado mundialmente por diferentes grupos e individuos para —poniéndose o no de acuerdo con otros— realizar en su nombre acciones o publicaciones individuales o concertadas. Anonymous, según explica la Wikipedia,  se manifiesta en acciones de protesta a favor de la libertad de expresión, de la independencia de Internet y en contra de diversas organizaciones, servicios públicos, consorcios con presencia global y sociedades de derechos de autor. La actividad del grupo les ha valido varios arrestos en algunos países, entre ellos España.

Lo cierto es que no todas las amenazas de Anonymous finalmente se han desarrollado, pero dada la naturaleza descentralizada del grupo no se puede descartar que finalmente se lleven acabo las campañas.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Los hackers no perdonan a los ayuntamientos vulnerables: Seis ejemplos de ataques a webs

En algunos casos se pone en juego la imagen y la reputación de una institución; en otros, los sabotajes de webs tienen tintes reivindicativos, y en algunas ocasiones, simplemente, son robos. Pero lo cierto es que los hackers ponen a prueba continuamente la seguridad de las páginas webs de muchas instituciones públicas, y muchas veces las administraciones no superan la prueba.

Y es que este déficit de seguridad es grave puesto que podría comprometer la confidencialidad e integridad de los datos de los ciudadanos. Tanto, que los expertos en seguridad cibernética recomiendan que los sectores públicos y privados trabajen juntos para combatir eficazmente la amenaza de las vulnerabilidades web.

Nube de etiquetas de Security Guardian

Recopilamos en este post alguno de los ataques recientes a páginas web consistoriales con repercusión en medios de comunicación. Unos fallos que dejan al descubierto los agujeros de seguridad online de algunos consistorios.

Muy segura no resultó la web del Ayuntamiento catalán de La Garriga, que este mismo mes sufrió  un ataque informático mediante el cual el saboteador incluiyó mensajes contra la independencia de Catalunya y colocó banderas españolas en todas las secciones. El pirata informático que inutilizó la web incluyó varios mensajes del tipo: "Municipi per la anti-independencia. No todos los que vivimos en La Garriga queremos la independencia, así que no habléis en nombre de todos, no impongáis!!! Esto solo es una advertencia y irá a más si no quitáis la placa de municipi per la independencia. ¡Viva España y Cataluña!". ¿Falta de seguridad?

Un 'juego de niños' comparado con lo sucedido en el municipio pontevededrés de Cercedo, cuya cuenta bancaria electrónica se quedó vacía después de que uno o varios piratas informáticos realizaran entre 15 y 20 operaciones.  La corporación tenía en esa cuenta de la entidad gallega Novagalicia Banco unos 200.000 euros para sus gastos corrientes, como son los pagos a empleados y a proveedores. Finalmente, el consistorio pudo recuperar el dinero. ¿Falta de seguridad?

Con todo, después de los acontecimientos,  la prioridad de la investigación fue determinar cómo el hacker pudo acceder a las claves de la cuenta del Ayuntamiento de Cerdedo.  ¿Falta de seguridad?

En Segovia, otro ataque informático inutilizó varias webs de empresas, clubs deportivos y hasta un ayuntamiento de la provincia para exigir que se aclarasen los presuntos casos de corrupción. Los hackers dejaron inutilizadas varias páginas y fijaron en ellas el mensaje 'Stop corruption municipalities and members of the judiciary'. ¿Falta de seguridad?

Otro hacker entró a mediados del mes pasado en la web del área de Juventud del Ayuntamiento de Valencia y envió mensajes contra el Consistorio a varios usuarios. No era la primera vez que esa misma web sufría un ataque. ¿Falta de seguridad?

Pero los casos de La Garriga, Valencia y Cercedo tienen precedentes, como desvela la hemeroteca.

En abril del año pasado, un grupo pro-iraní pirateó las web oficiales de los ayuntamientos granadinos de Baza y Caniles. El grupo, denominado Ashiyane Digital Security Team,  se apoderó del dominio web de ambos ayuntamientos, que compartían la misma empresa prestadora de este servicio. Las páginas web de los ayuntamientos dejaron de prestar su servicio habitual y en su lugar apareció una interficie del grupo Ashiyane Digital Security Team.  ¿Falta se seguridad?

Al parecer, este mismo grupo había saboteado unos meses antes sla página web oficial de Gibraltar, creada por el Gobierno de Londres. El grupo incluyó en la web pirateada una imagen del Golfo Pérsico y la advertencia expresa de que el sitio había sido hackeado por el equipo de Ashiyane Seguridad Digital. También  incluyeron una serie de palabras y frases aparentemente codificadas y que hacen referencia a los apodos de los responsables del suceso. ¿Falta se seguridad?

Por aquí entran los hackers: Cinco agujeros de seguridad en cinco grandes empresas

¿Estamos suficientemente protegidos?, ¿lo están las herramientas que utilizamos cada día en nuestro trabajo o nuestro tiempo de ocio? Investigadores y hackers descubren cada día fallos de seguridad en navegadores, aplicativos informáticos, redes sociales, juegos de azar, bancos online y hasta videojuegos de rol. Las empresas lanzan actualizaciones y parchean los fallos detectados, pero muchas veces las vulnerabilidades vuelven a hacerse evidentes con el paso de las semanas, como le ha ocurrido con Java a a la compañía Oracle, en el punto de mira tras evidenciar un fallo de seguridad después de que en agosto lograra solucionar otro.  Pero Oracle no está solo. Otras compañías han visto descubiertas algunas de sus vulnerabilidades y han intentado solucionarlas con mayor o menor fortuna. Véanse aquí cinco ejemplos.



1. Whatsapp

La plataforma de mensajería instantánea Whatsapp no es segura. O dicho de otra manera, los mensajes que mandamos a nuestros conocidos pueden ser interceptados incluso por una persona con pocos conociminetos de hacking porque los datos necesarios para piratear una cuenta,  como el IMEI o la dirección MAC de un teléfono móvil, son demasiado fáciles de obtener. La compañía trató de solventar este fallo encriptando los mensajes, pero aun así su seguridad sigue siendo baja. Normal que le haya salido un competidor que quiere ganar cuota de mercado por el flanco débil del gigante de Silicon Valley: Spotbros: una aplicación española que se promociona como “más segura que Whatsapp”.

2. Banco de Francia

Un desempleado francés que estaba buscando información sobre tarifas tecleó al azar en su ordenador los números 123456, con la sorpresa de que entró directamente en el servicio de deuda del Banco de Francia. Era 2008 y lo acusaron de haber pirateado la web del Banco de Francia, y recientemente lo han absuelto. ¿Por qué? Pues porque parece que la entidad fue demasiado imprudente al elegir la contraseña y al no establecer mayores medidas de seguridad.

3. Java

Investigadores de la firma polaca Security Explorations disclosed descubrieron a finales de mes pasado un nuevo fallo en Java que podría afectar a 1.000 millones de internautas. El fallo afecta a las versiones 5, 6 y 7 de Java en Windows, Mac OS X, Linux y Solaris. En agosto, Oracle ya se vio obligado a solucionar algunas deficiencias de seguridad, pero los investigadores encontraron de nuevo un agujero por el que colarse que la compañía no prevé arreglar hasta el próximo parche que lance en febrero. Los fallos de Java parecen haber hartado a Apple, que lo ha deshabilitado por defecto en todos los navegadores de los Mac con OS X, lo que pone en duda el futuro de Java, acosado por continuos agujeros de seguridad.

4. Navegadores

A principios de este mes, se hizo pública una vulnerabilidad en el navegador Opera que aparece cuando se navega por sitios web inseguros o que poseen contenido malicioso. Se trata de un agujero de seguridad que puede permitir al webmaster de una web redireccionar la navegación del usuario que ha visitado esa página a otra que él desee y donde pueda robar información al usuario. Microsoft alertó también hace unas semanas de un fallo de seguridad en Internet Explorer y Mozilla se vio obligada a deshabilitar la descarga de Firefox 16 por otro fallo.


5. World of Warcraft

El popular videojuego de rol en línea World of Warcraft sufrió hace unas semanas una intrusión que consiguió aniquilar a todos los personajes de Azertoh, el mundo virtual donde se desarrolla juego.  Blizzard Entertainment, la compañía responsable del producto, ha explicado en sus foros que el problema ha sido identificado, por lo que no se podrá volver a repetir al menos usando el mismo fallo en el sistema. Blizzard realizará ahora una "investigación exhaustiva" para determinar la causa de esta “pandemia virtual” y su autoría. World of Warcraft tiene más de 10 millones de usuarios y es el mayor videojuego de rol multijugador en línea del mundo.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

Las ventas online pueden salvarte de la crisis. Protege tu web, no te la juegues.

¿Crisis? Sí, es una evidencia. Pero, pese a ella,  las ventas online no están en regresión.  De hecho, según los datos del Informe sobre el comercio electrónico a través de entidades de medios de pago publicado recientemente por la Comisión del Mercado de las Telecomunicaciones, el comercio electrónico en España alcanzó en el primer trimestre de 2012 un volumen total de facturación de 2.452,6 millones de euros, un 19,3% más que en el mismo periodo de 2011. Unos datos que suponen un nuevo máximo histórico.

Evolución del negocio de Internet. Fuente:CMT

El montante económico generado en el primer trimestre se distribuyó principalmente entre las siguientes diez ramas de actividad: las agencias de viajes y operadores turísticos (12,7%), el transporte aéreo (12,0%), el marketing directo (7,2%), el transporte terrestre de viajeros (5,4%), los juegos de azar y apuestas (4,5%), los espectáculos artísticos, deportivos y recreativos (4,1%), las prendas de vestir (3,1%), la publicidad (2,9%), y, por último, los electrodomésticos, imagen, sonido y descargas musicales (2,5%) y los hoteles y alojamientos similares (2,1%).

Pero para que el comercio online prosiga su senda de crecimiento, y para que los compradores decidan adquirir tu producto, es necesario que tu web esté bien protegida. De hecho, según estudios recientes, el 64,5% de los internautas no compradores justifica su rechazo al comercio online por el miedo a dar datos personales por Internet, el 58,8% no se fía y no le parecen seguros estos canales y el 48,3% siente desconfianza ante las formas de pago. Unos porcentajes elevados que no nos deberían extrañar sabiendo que la mayoría de empresas con web no realizan escaneos de vulnerabilidades para certificar la seguridad de su portal. El hecho de que tantas páginas webs sean hackeables interfiere en las confianza de los consumidores, que dejan de comprar o de realizar operaciones online porque no confían en algunas webs.

Por eso, si consideras que la seguridad de tu web es una inversión y no un gasto, ponte en contacto con Security Guardian y diseñaremos un presupuesto a tu medida y a la medida de tus clientes.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

El 90% de las webs son hackeables

Los datos lo confirman: una parte sustanciosa del pastel de los negocios se mueve en Internet. El comercio electrónico español ronda los 10.000 millones de euros de facturación mientras pequeñas y grandes empresas quieren estar en la Red porque conciben que si no están en ellas no existen para su cliente. Así, según datos de 2011 recopilados por la escuela de negocios Online Business School (OBS), un 62% de las empresas españolas disponen de una página web. De este total, un 58% son pequeñas empresas, el 80% y el 90% para las grandes.

Por eso necesitamos que Internet sea seguro. Que igual que el comercio de la esquina cierra su persiana cada noche, la web de la pyme extreme sus medidas de seguridad para evitar ataques no deseados.

Pero esto no siempre es así, según los resultados obtenidos por Security Guardian, empresa especializada en la seguridad de la información. Así, en las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha hallado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% han sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).  

De hecho, cada día se detectan 5.000 páginas web comprometidas y 1.400 nuevas muestras de malware bancario, con 230 'keyloggers'. Todo esto afecta a la sensación de inseguridad que tiene el internauta, potencial cliente: La mitad de las personas que no ha realizado nunca una compra online confiesa que si renuncia a las compra es fundamentalmente por motivos de seguridad.

En otras palabras, las empresas pierden clientes por no haber invertido en seguridad, por no tener todavía la conciencia de que el escaparate que es la web debe estar protegido igual que se protege un escaparate “real”. Porque Internet también es real. Por eso se recomienda a las empresas que venden a través de su web, que hospedan datos de clientes o, simplemente, que contienen información que realicen auditorías de seguridad. Todo ello redunda en incrementar el número de clientes, lectores o visitantes. Mejora la seguridad de la web y la percepción de seguridad por parte de los visitantes de la web, incrementa las ventas web si dispone de tienda on-line, mejora la imagen corporativa y disuade a potenciales atacantes.

La Importancia de la Seguridad en las páginas Web

Hoy en día Internet es de vital importancia para todos ya que muchos servicios residen y/o se ofrecen vía online. Por lo tanto la gestión de los riesgos que pueden afectar a estos sistemas es un aspecto muy importante a tomarse en consideración. Sin entrar en detalles técnicos, podemos resumir que el riesgo se calcula mediante una fórmula aritmética en base a la probabilidad, al impacto de una vulnerabilidad y al valor del activo afectado.

Una vulnerabilidad podemos considerarla como una debilidad presente en nuestro sistema la cual podría ser explotada por un atacante para comprometerlo. En las páginas Web podemos encontrar diferentes vulnerabilidades como por ejemplo: inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros locales (LFI) y remotos (RFI), Server Side Includes (SSI), etc… En Internet es posible encontrar diferentes estadísticas de distribuciones de vulnerabilidades de las páginas Web. En ellas es posibles apreciar que las inyecciones SQL y XSS siguen siendo las vulnerabilidades más frecuentes. Existen diferentes  metodologías de gestión de riesgos como MAGERIT, CRAMM, y OCTAVE.

 

Ejemplo de seguridad de la información

Para considerar un caso real y cercano a nosotros, podemos analizar los resultados obtenidos por Security Guardian, empresa especializada en la seguridad de la información que colabora con Nexica en el ámbito de la asesoría para protección y seguridad de infraestructuras. En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha detectado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% has sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).

Es posible encontrar vulnerabilidades a diferentes niveles, empezando por el nivel lógico, por lo tanto el nivel de seguridad alcanzado corresponde al mínimo de los niveles de seguridad presentes. Para estudiar la seguridad de un entorno hay que analizar no solo el producto final, también el sistema en su totalidad, como por ejemplo el modelo de negocio entero, la arquitectura, la plataforma de alojamiento y los diferentes agentes que toman al desarrollo y la entrega del servicio.

Algunos de los posibles puntos de entrada para el potencial atacante son las vulnerabilidades presentes en el servicio y aplicativo Web. No se ha explicado aun porque alguien se tomaría tantas molestias. Normalmente la motivación es lograr algún beneficio del tipo que sea: económico, de reputación… La desfiguración de páginas web, el robo de informaciones y la denegación de servicio son los objetivos más frecuentes. Si la motivación es lograr algún beneficio, el posible atacante podría ser el beneficiario, por lo tanto un potencial atacante no es sólo un hacker anónimo, puede también ser alguien muy cercano a nosotros, por ejemplo un empleado descontento, un ex empleado o hasta un competidor.

 

Ataques a la seguridad cada vez más frecuentes

En general, los ataques son cada día mas frecuentes. Es posible encontrar noticias que destacan un incremento del 44% de los ataques cibernéticos, u otras que describen que Symantec reporta un incremento del 81% de los ataques maliciosos. Si deseamos conocer una cifra aproximada de desfiguraciones, podemos ver que Zone-h ha reportado casi 1,5 millones de páginas desfiguradas en el año 2010.

Considerando algunos factores como por ejemplo la importancia de las páginas Web en nuestros negocios y hasta en nuestra sociedad, el incremento del número de ataques realizados, y la sofisticación de las herramientas automatizadas para realizar dichos ataques (que además requieren cada vez menos conocimientos técnicos y que permiten realizar ataques cada vez mas complejos), es imprescindible cuidar la seguridad de las nuestras páginas Web de forma continua y exhaustiva. Además, hay que considerar que los impactos debidos a problemas de seguridad pueden ser desastrosos pues producen pérdidas económicas, perdidas de imagen, denegaciones de servicio (no poder prestar servicio), perdidas de información, etc…. Entre los impactos anteriormente citados, la pérdida de imagen es quizás la peor ya que puede gravemente a la reputación de la empresa y puede llevar fácilmente una empresa a la quiebra.

Por último para garantizar la seguridad nuestras páginas webs es necesario analizar profundamente todo los elementos que intervienen en la cadena del negocio. Hay que pensar por ejemplo en seguridad a nivel lógico, físico (control de acceso, sistemas de firewall,...) y perimetral (firewalls, IDS, IPS,…), programar de forma segura, configurar correctamente servicios y aplicativos, preocuparse de la confidencialidad, disponibilidad e integridad de la información, aislar totalmente los datos, y realizar una monitorización continua de la seguridad. Además hay que cumplir correctamente las normativas (LOPD, SSI,…) y podría ser de ayuda para la seguridad y para el negocio cumplir con los estándares correspondientes (Ej.: ISO). Por todo ello es recomendable buscar asesoramiento continuo, así como contar con un proveedor estable y de confianza que pueda aportar años de experiencia en el mismo sector.

Fuente noticia: http://nexica.com/es/importancia-Segurida-en-paginas-Web

 info@security-guardian.com www.security-guardian.com

Web Vulnerability Scanner & Website Trust, Privacy and Security Seal

CINCO Mandamientos básicos de la Seguridad

En este artículo describimos algunas de las políticas básicas en la seguridad de la información.  No se listan todas las filosofías, solo aportamos las principales, que además son aplicables a diferentes entornos, como por ejemplo al entorno Web.

Obviamente cada sector puede tener sus propias políticas/filosofías adicionales o específicas. 

1.    Proporcionar seguridad por defecto

En cuestiones de seguridad lo más importante es proporcionar seguridad por defecto, en todo momento. Si se actúa siempre de forma “segura” se limita mucho la ventana de ataque.  Para nosotros éste es el más importante ya que  las demás filosofías de seguridad pueden derivarse directamente o indirectamente de ésta

2.    Hazlo tan simple como sea posible

Controlar algo simple y ordenado resulta más fácil, eficiente y efectivo  que controlar algo desordenado o complicado.  Por otra parte la probabilidad de error en un sistema simple y ordenado es  menor que la de un sistema complicado y desordenado.

3.    Minimiza la superficie de ataque

Esta es otra regla básica para ser eficientes en costes y efectivos en medidas de seguridad.  Reduciendo la superficie de ataque, para controlar las amenazas,  es posible centrar las medidas de seguridad compensatorias en dicha área. Esta regla es bien conocida por los organismos institucionales de defensa. Por ejemplo, para controlar la seguridad de una instalación sería posible cerrar todas las posibles vías de entradas y dejar solo un camino posible, justo aquel donde se centrarían la mayoría de los controles y/o medidas de seguridad.

4.    Separación de privilegios

La implantación de las medidas propuestas por este mandamiento de seguridad son básicas para prevenir un posible conflicto de interés o un fraude. Por ejemplo, si un determinado presupuesto para la compra o contratación de un determinado recurso fuese habilitado y ejecutado por la misma persona, no habría un control sobre la necesidad o licitud del mismo y por lo tanto podría darse un fraude o un conflicto de interés. 

5.    Permite solo lo bueno conocido y deniega lo demás por defecto

Permitir solo lo bueno conocido es la mejor forma de asegurarse que sólo lo lícito sea habilitado. Por ejemplo, èsta es una regla que a menudo se aplica en el control de accesos, para  implementar  filtrados, controles de validaciones, etc…  Todo lo que no sea lo bueno conocido se tiene que denegar por defecto. 

Seguridad para CRM online

Un  Customer Relationship Management (CRM) es  un sistema que sirve  para la gestión de la cartera de los clientes. Normalmente un CRM almacena los datos de los clientes en una base de datos.

Los datos que el CRM almacena, a menudo, son confidenciales, sensibles  y además se trata de datos personales. Se considera que los datos pueden ser sensibles y confidenciales ya que las empresas basan su estrategia de marketing  y/o comercial en los datos almacenados en el gestor de clientes (CRM). Por otra parte si en los datos almacenados aparecen datos personales, estos tienen que cumplir con la Ley sobre la privacidad de los datos personales (Ej.: Ley Orgánica de Protección de Datos de Carácter Personal de España, la LOPD).

Un aspecto claramente muy importante es la seguridad del CRM. Otro aspecto que puede marcar la diferencia entre el éxito o el fracaso de una herramienta online para la gestión de clientes es la confianza del usuario final, ya que por falta de confianza las empresas pueden optar por no dar el paso final y darse de alta en el CRM. A las empresas les preocupa mucho la seguridad del CRM o de los datos de su organización y los datos comerciales que se almacenan en el CRM.

Resulta evidente que un sistema que trate este tipo de datos tiene que proporcionar un bien buen nivel de seguridad para protegerlos debidamente. Efectuar auditorías de seguridad o test de intrusiones de forma periódica del sistema, es una buena manera para conocer el nivel de seguridad actual. No obstante, hay otros aspectos que son también importantes, como por ejemplo la confidencialidad e integridad de los datos, el control de acceso, la gestión de los passwords, la seguridad perimetral y la continuidad del negocio (Ej.: copias de respaldo, sistemas redundantes, balanceadores de carga, etc…).

Siendo que hay muchos aspectos de seguridad a tenerse en cuenta para poder disponer de un sistema de gestión de clientes, un CRM “seguro”,  puede resultar costoso tener en cuenta todos los aspectos de seguridad  necesarios. Un posible camino para disminuir los costes de auditorías de los CRM es poder automatizar una parte de ellas con escaneos de vulnerabilidades automatizados. De esta manera se puede reducir el alcance de los test de seguridad o auditorías de vulnerabilidades manuales, centrándose en cubrir la parte que no puede cubrir una máquina y pudiendo así ahorrar en tiempo y costes.

Security Guardian es la solución ideal para cubrir las necesidades de seguridad, confianza y privacidad de los CRM online. Security Guardian proporciona un sello de seguridad, privacidad y confianza online para páginas Web que sirve para fomentar la confianza online e incrementar las ventas. 

Security Guardian para poder certificar la seguridad del CRM efectúa auditorías de seguridad o escaneos de vulnerabilidades de forma periódica o bajo demanda y certifica el CRM como "seguro" con el sello de confianza online de Security Guardian.

                  www.security-guardian.com                                      info@security-guardian.com

¿Quién se encarga de la seguridad de mi página Web?

En Security Guardian hemos hecho una campaña comercial con el fin de establecer colaboraciones con empresas que se dedican al desarrollo web para que estas puedan asegurar sus creaciones.

Hemos contactado con mas de 250 empresas, de las cuales hemos visitado más de 20.

Hablando con los diferentes profesionales hemos detectado una gran necesidad: poder testear los desarrollos efectuados con el fin de poder entregar una página Web “segura” a sus clientes. Entre los contactos efectuados hemos encontrado muy pocas empresas que estuviesen efectuando escaneos de vulnerabilidades o pruebas de seguridad de sus creaciones. Las demás empresas han manifestado un interés y una necesidad de nuestra solución ya que actualmente no estaban haciendo estas auditorías de seguridad.   

Un socio de una de las  empresas contactadas (que llamaremos empresa X) en su día nos dijo directamente, y en confianza, que la herramienta era muy interesante y útil, pero él le veía un problema, y el problema es que  ellos ya venden al cliente la seguridad, ya está incluida en el precio, aunque la realidad es que no la verifican con escaneos de vulnerabilidades porque tampoco son expertos en la seguridad.

Verificarla, nos dijo, quiere decir reducir beneficios ya que no podían decirle al cliente que le cobrarían por algo que en teoría ya le estaban haciendo, y que en realidad no le hacían.

Además, nos confesó que había otro problema, y es que si la herramienta hubiese detectado vulnerabilidades en las páginas web, el desarrollador hubiese tenido que asumir los costes de solucionar las vulnerabilidades detectadas.

En base a las informaciones obtenidas decidimos efectuar una campaña y ofrecer gratuitamente un escaneo de vulnerabilidades a empresas que tuvieran externalizado el desarrollo de sus páginas web.

Contactamos con el responsable de marketing (el que se encarga de los contenidos) de diferentes páginas web, entre ellas tiendas online, para ofrecerles la oportunidad de disfrutar de un escaneo de vulnerabilidades de forma gratuita.

Nos hemos encontrado con una situación similar a la anteriormente comentada por el socio de la empresa X, donde el dueño o responsable de la página web, al habilitarnos  para efectuar la auditoría web, nos ponía a la espera de consultar y preguntar a su profesional o empresa de confianza (el webmaster). 

En muchos casos las respuestas que hemos recibido han sido del tipo: “creo que donde hospedo mi página ya se encargan de esto”, “esto creo que lo hace la empresa que me administra la Web”, “mi webmaster dice que ya me da seguridad y que está en el precio.”

En Security Guardian no creemos que un hosting o un webmaster, por defecto, efectúen escaneos de vulnerabilidades de las páginas y/o aplicativos web de sus clientes, ya que legalmente no está permitido efectuar escaneos de vulnerabilidades o auditorías de seguridad sin el permiso del dueño. Otra cosa es que el propietario de la página web contrate un servicio de escaneo de vulnerabilidades para su portal Web o bien este servicio ya esté incluido explícitamente en el contrato.

Por otra parte se necesitan profundos conocimientos de seguridad para realizar auditorías manuales de seguridad de páginas web. Si se utilizan herramientas de escaneos de vulnerabilidades automatizadas, también se necesitan profundos conocimientos para entender los resultados y solucionar correctamente las vulnerabilidades detectadas.

Security Guardian ha detectado una situación donde presuntamente muchos de los propietarios de páginas web pueden tener la creencia equivocada de que la seguridad de su portal estaba incluida por defecto en  el hosting o proporcionada por el profesional o empresa que les hace y/o mantiene su portal web.

Desde Security Guardian queremos dar claridad en este tema, y queremos alertar a los dueños y responsables de las páginas Web, que son ellos realmente quiénes se  verían afectados y tendrían que responder por la presencia de un posible incidente informático.  

A los dueños de las páginas web, les recomendamos que si quieren saber si su proveedor se está ocupando de la seguridad de su página web y efectúa auditorias de seguridad, pueden hacerle las siguientes preguntas: ¿Con qué periodicidad ejecutan un escaneo de vulnerabilidades de mi portal? ¿Cuándo han efectuado la última auditoría de seguridad de mi página web? ¿Puedes enseñarme los resultados?

Respondiendo a la pregunta inicial de quién se encarga de la seguridad de mi página Web, la respuesta podría ser: NADIE. Podemos deducir que se puede dar el caso donde el propietario de la página web crea que un su proveedor se esté encargando de efectuar las auditorías de seguridad y en realidad, no siendo un servicio contratado, no se está llevando a cabo.

Hemos creado Security Guardian para ayudar las empresas en temas de auditorías de seguridad de las páginas web. Security Guardian puede ser usado por:

1. Hosting y Desarrolladores de las páginas Web para poder gestionar los riesgos de seguridad  
2. Los Desarrolladores Web para ayudarles a verificar y certificar la seguridad de sus desarrollo
3. Los dueños de las páginas Web para poder:

o   Gestionar los riesgos de seguridad

o   Verificar el trabajo de su proveedor

o   Verificar la seguridad de su portal

o   Fomentar la confianza online

o   Incrementar las ventas online 

o   Reducir costes en auditorías de seguridad

o   Mejorar la productividad IT

o   Mejorar el posicionamiento orgánico (SEO)

o  Ayudarles con el cumplimientos de la Ley Orgánica de Protección de Datos Personales (LOPD)

www.security-guardian.com        info@security-guardian.com