jueves, 29 de noviembre de 2012

Nuevo máximo histórico del comercio electrónico: Que no te pille en fuera de juego

El comercio electrónico en España alcanzó en el segundo trimestre de 2012 un volumen total de facturación de 2.640,8 millones de euros, un 13,7% más que en el mismo periodo de 2011. Este registro supone un nuevo máximo histórico, según el último Informe sobre el comercio electrónico a través de entidades de medios de pago publicado este martes por la Comisión del Mercado de las Telecomunicaciones.

En total, durante el segundo trimestre de 2012, se contabilizaron 36,7 millones de transacciones, idéntica cifra que en el trimestre anterior, lo que supone un crecimiento interanual del 17%.

El montante económico generado se distribuyó principalmente entre agencias de viajes y operadores turísticos (13,8%) y el transporte aéreo (13,8%). Les siguieron en la clasificación de ramas de actividad con mayor volumen de negocio el marketing directo (6,5%), el transporte terrestre de viajeros (4,8%), los juegos de azar y apuestas (3,5%), los espectáculos artísticos, deportivos y recreativos (3,4%), la publicidad (3%) y las prendas de vestir (2,5%).

El ecommerce, pues, es un nicho de negocio en auge que puede ser aprovechado en un contexto económico en el que la mayoría de sectores sufren parones o descensos en sus cifras de facturación.

Para sacar rédito del comercio electrónico, sin embargo, es imprescindible inspirar confianza al consumidor, (econfianza): que no tema navegar por una web de venta electrónica y, sobre todo, que no tema desvelar sus datos bancarios en ella. De hecho, como apuntábamos en un post reciente, el 64,5% de los internautas no compradores justifica su rechazo al comercio online por el miedo a dar datos personales por Internet, el 58,8% no se fía y no le parecen seguros estos canales y el 48,3% siente desconfianza ante las formas de pago. Unos porcentajes elevados que no nos deberían extrañar sabiendo que la mayoría de empresas con web no realizan escaneos de vulnerabilidades para certificar la seguridad de su portal. El hecho de que tantas páginas webs sean hackeables interfiere en las confianza de los consumidores, que dejan de comprar o de realizar operaciones online porque no confían en algunas webs.

Por eso insistimos en la importancia de que las páginas webs estén convenientemente auditadas, que se les realicen escaneos de vulnerabilidades de forma periódica o bajo demanda para que estas puedan certificarse como “seguras” mediante el sello de confianza y seguridad online de Security Guardian. Facilitar a los hackers que ataquen nuestra web por no haber realizado una mínima inversión en seguridad puede significar pérdidas millonarias para nuestro negocio y, peor aun, puede dejar herida de muerte la reputación de nuestra empresa.

....



Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

lunes, 26 de noviembre de 2012

Entrevista con Manuel Escalante, director general del Inteco: "El hacktivismo supone el 58% de los ataques a webs" (II)


Segunda parte de la entrevista concedida por Manuel Escalante, director general del Inteco, al blog de Security Guardian.


5. ¿Cuáles son las principales amenazas a las que se puede enfrentar una web?

El desarrollo de la Sociedad de la Información ha dado lugar a una diversificación en la motivación de las amenazas. En este sentido, además de considerar un robo directo de información de datos personales o estratégicos que puedan derivar en un beneficio económico para el atacante, fenómenos de carácter más social tienen también una importante presencia, como es el caso del hacktivismo que supone el 58% de los ataques según datos a nivel internacional.

Además, la inyección de código malicioso en una web como mecanismo intermedio a través del que infectar y comprometer datos o equipos de los usuarios que la visiten es también una casuística que vemos frecuentemente.

Manuel Escalante, director general del Inteco.


6. ¿Hay muchas webs comprometidas en España?

La detección y el reconocimiento del compromiso de páginas web en España es uno de los focos del esfuerzo del trabajo que venimos realizando en INTECO. Concretamente, ya desde 2007 hemos venido trabajando en una atención especial a los dominios .es a través de una activa colaboración con red.es.

Evitar el compromiso de una web implica la necesidad de activar mecanismos que provean de ciertas capacidades de monitorización y detección temprana no sólo de posibles compromisos consumados sino también de las vulnerabilidades que pudiesen ser explotadas posteriormente para tal fin.

Nuestros esfuerzos se orientan por tanto en ambas direcciones: proporcionar una alerta temprana de compromisos consumados e identificar vulnerabilidades comunes antes de que sean explotadas.

7. Ataques a páginas web. ¿Incrementa o decrece el ritmo de ataques?

Se incrementa. El ritmo de ataques crece muy rápidamente en número y en complejidad y gravedad de su impacto.

Si bien, este crecimiento viene inevitablemente unido a la oportunidad que supone el desarrollo y generalización del uso de los servicios de la Red.

Hay que tener en cuenta que el aumento en el número contabilizado de ataques e incidentes responde también a un aumento en la capacidad y conocimientos para reconocerlos.

Aunque el ritmo de ataques pueda crecer, reconocer la importancia de la ciberseguridad como elemento clave para el desarrollo de nuestra sociedad es muestra de que ya hemos asumido el reto que todo ello supone.


8. Social Media, Cloud, Big Data, aplicaciones móviles... ¿De dónde vienen las principales amenazas para la seguridad de una empresa?

La generalización de la ciberseguridad a todos los sectores que comentábamos al principio de esta entrevista es en realidad consecuencia de la generalización de las amenazas a las diferentes plataformas, mecanismos de comunicación y herramientas que utilizamos en nuestro aprovechamiento de la Sociedad de la Información.

En este sentido, la oportunidad de comunicación que suponen las redes sociales se convierte también en un vector de exposición de información que debemos gestionar convenientemente. El aprovechamiento de las ventajas que proporciona un servicio de cloud bien diseñado y contratado es también un factor a valorar desde una actitud receptiva. Respecto a las plataformas móviles, debemos ser conscientes de que son plataformas menos maduras que los sistemas operativos de las plataformas habituales con especial impacto en la madurez de su seguridad. Ante esto, nuestra perspectiva apunta a la precaución y a la realización de un análisis de riesgos adecuado que permita valorar y gestionar adecuadamente su integración en entornos corporativos.

Además de la evolución de canales de comunicación y modalidades de servicio, la profesionalización del malware, presente en un 69% de los ataques registrados, hacia lo que se han denominado Amenazas Persistentes Avanzadas (APTs) supone una amenaza muy relevante para la seguridad de la empresa. Aunque este tipo de amenazas tiene un público objetivo definido, orientado sobre todo al robo de información estratégica y de propiedad industrial, su carácter silencioso y la complejidad de su especificidad hace de las APTs un reto que requerirá de un esfuerzo constante y también muy profesionalizado.

En cualquier caso, una de las claves del éxito de las estrategias de prevención y protección de nuestras empresas es sin duda la aplicación de una perspectiva integral que contemple tanto la explotación de nuevos canales y modalidades de servicios como las amenazas específicas de su ámbito.


....


Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

jueves, 22 de noviembre de 2012

Entrevista con Manuel Escalante, director general de Inteco: “Solo se alcanza una conciencia real sobre seguridad online cuando se materializa un incidente” (I)

Nacido en 1972, Manuel Escalante es Ingeniero Superior de Telecomunicaciones por la Escuela Técnica Superior de Telecomunicaciones de la Universidad Politécnica de Madrid, y ha formado parte del equipo de Inteco desde junio de 2006 desempeñando el papel de director de Operaciones. Desde marzo de este año es el director general de esta entidad tecnológica. Con él analizamos algunos de los retos de las empresas españolas en materia de seguridad online.

Estos son, para ir abriendo boca, alguno de los titulares que nos deja esta primera parte de la entrevista que ha concedido al blog de Security Guardian:

"El 56,3% de las empresas dispone ya de personal dedicado a garantizar la seguridad de la información"

"Los niveles de concienciación en España están en la media del resto de países europeos"

"La preparación de las empresas frente a ciberataques requiere también de un verdadero entrenamiento:los ciberejercicios"






Manuel Escalante, director general de Inteco




1. ¿Están las empresas españolas suficientemente concienciadas de la importancia de la seguridad online?, ¿consideran que invertir en seguridad es una inversión o creen que es sólo un coste?

Los últimos estudios de INTECO en esta materia recogen que el 56,3% de las empresas dispone ya de personal dedicado a garantizar la seguridad de la información y que un 4,0% tiene profesionales internos que se dedican exclusivamente a dichas tareas. Sin duda, el reconocimiento de la ciberseguridad como necesidad viene acompañado de una evolución hacia la seguridad como una oportunidad y no sólo como un coste. Evolución que marca también la estrategia de las empresas españolas.

No obstante, a través de nuestro contacto con las empresas y sus incidentes seguimos constatando que la percepción del riesgo es aún baja. La conciencia de la necesidad de aplicar medidas integrales para la protección de sus activos aumenta, pero sólo se alcanza una conciencia real cuando se materializa el incidente. A partir de ese momento sí estamos viendo cómo se corrigen, por ejemplo, inadecuadas estrategias de outsourcing que han derivado en una deslocalización de la interlocución, gestión del servicio y por tanto, de su seguridad, que terminan siendo elementos facilitadores del propio incidente.

El año 2012 ha sido clave en la generalización de la conciencia de la importancia de la ciberseguridad. Esta conciencia se extiende a todos los sectores y a nivel nacional e internacional, reconociendo la seguridad en la Red como un pilar básico para el desarrollo de nuestra sociedad, para la actividad y competitividad de empresas y administraciones y como una garantía de libertad para los ciudadanos.

El apoyo de los órganos competentes en esta materia se constata a través de los documentos que marcarán la orientación estratégica y táctica del Gobierno de España en el ámbito de la ciberseguridad en los próximos años: la Agenda Digital para España y la Estrategia Española de Ciberseguridad.

Como muestras concretas, destacar la inclusión en la propuesta de Agenda de la necesidad de reforzar la confianza en el marco digital como uno de sus siete objetivos, la consolidación de INTECO como centro de excelencia en esta materia y el esfuerzo dedicado a lo largo de este año para el desarrollo de la Estrategia Española de Ciberseguridad.

2. ¿La conciencia de la importancia de la seguridad es mayor en el resto de Europa?

Los estudios realizados a nivel europeo sobre esta materia reconocen unos niveles de concienciación en España en la media del resto de países europeos. Destacando como el país con mayor porcentaje de interés o conciencia de los usuarios ante la seguridad de su información personal en la web.

En España se trabaja activamente en la concienciación, en la línea del resto de Europa. Por ejemplo, el pasado mes de octubre ha tenido lugar el Mes Europeo de la Seguridad Cibernética de la ENISA (European Network and Information Security Agency). INTECO ha sido el representante español en esta iniciativa piloto en la que se han desarrollado diferentes acciones de concienciación junto a otros 7 países de la Unión: República Checa, Luxemburgo, Noruega, Rumanía, Eslovenia, Portugal y Reino Unido.

La alineación a este respecto con el resto de Europa podemos asegurarla también gracias a la presencia de INTECO en el Management Board de la ENISA. De esta forma, tenemos a nuestro alcance un canal para compartir conocimiento y experiencia y participar en el diseño de iniciativas encaminadas al fortalecimiento de la seguridad en la Red con una perspectiva transnacional. Perspectiva necesaria en ámbitos que no entienden de fronteras, como es el caso de la ciberseguridad.

El compromiso del Gobierno con esta labor es palpable además a través de la presencia de las labores de concienciación en los documentos estratégicos que ya he mencionado: Agenda Digital para España y Estrategia Española de CiberSeguridad.

3. El 42 % de las empresas españolas no está preparada frente a ciberataques. Un punto por encima de la media europea. ¿Qué hacemos?


Seguir trabajando. Además de los planteamientos estratégicos y tácticos ya mencionados, la preparación de las empresas frente a ciberataques requiere también de un verdadero entrenamiento; entrenamiento que en el ámbito de la seguridad de la Red se concreta en forma de ciberejercicios.

En este ámbito, desde INTECO hemos participado en acciones de este tipo a nivel europeo como es el caso de CyberEurope 2012; una iniciativa enfocada en la reacción ante ciberataques en el ámbito de la administración de la Unión Europea.

Con la experiencia y conocimiento adquiridos, y en colaboración con ISMS Forum, hemos participado en unos ambiciosos ciberejercicios sobre infraestructuras del sector privado español desarrollados el pasado mes de octubre y que suponen la primera iniciativa sobre ese tipo de infraestructuras a nivel europeo.

Como ya he comentado, somos conscientes de que la mejora en la percepción del riesgo por parte de las empresas es una tarea que sigue requiriendo de nuestros esfuerzos y en ello seguiremos también trabajando.

4. Muchos internautas confiesan que siguen sin realizar compras online por miedo, ¿qué mensaje se les puede lanzar?

El mensaje que debemos hacer llegar tiene que ser positivo, debemos animar a disfrutar de las ventajas y oportunidades que ofrece la Sociedad de la Información, sin renunciar en ningún caso a la eficiencia, mejora competitiva y desarrollo que supone su aprovechamiento.

Si bien, en nuestro mensaje también debemos hacer hincapié en el hecho de que, en este mundo digital, debemos saber comportarnos o movernos con garantías. Para ello, la primera consigna sería utilizar el sentido común; sentido común para reconocer los entornos confiables y actuar con prudencia cuando tenemos dudas.

Este es un mensaje en el que venimos trabajando en INTECO desde su creación y que la mencionada Agenda Digital para España vuelve a reconocer como pilar clave para el desarrollo de la Sociedad de la Información y, en definitiva, de nuestra sociedad en general.

El impulso de la confianza debe venir avalado por la información y la atención ante cualquier incidente, en caso de que éste se produzca; en INTECO tenemos abierta la Oficina de Seguridad del Internauta, que es un canal a disposición de todos, para seguir avanzando en esta tarea.

Hasta aquí la primera parte de la entrevista con Manuel Escalante. En el próximo post publicaremos el resto de la entrevista, en la que el máximo responsable de Inteco nos deja titulares como este: "El ritmo de ataques crece muy rápidamente en número y en complejidad y gravedad de su impacto".

....



Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

viernes, 16 de noviembre de 2012

Tres falsas creencias sobre seguridad online que pueden poner en peligro tu web

Para cualquier profesional de la seguridad online parecerá increíble, pero lo cierto es que un número reducido de empresas efectúan escaneos de vulnerabilidades o pruebas de seguridad en su web. Así lo pone de manifiesto un trabajo publicado por el doctor Antonio San Martino, fundador y CEO de Security Guardian, en Sogeti

Explica San Martino en el artículo que, según experiencia recogida por la propia empresa, muchos webmasters consideran que usando un gestor de contenidos (CMS)  como Prestashop, Joomla, osCommerce, Drupal u otros,  sería suficiente una dedicación de pocas horas al mes para gestionar la seguridad del CMS y actualizarlo. Primera falsa creencia que puede poner en peligro tu web. En primer lugar porque el trabajo de un  programador no es simplemente adaptar un CMS, actualizarlo, sino que también hay desarrollos propios que se basan en un CMS y que pueden tener vulnerabilidades. Y cuando salta una vulnerabilidad, la seguridad de un CMS puede ser potencialmente comprometida. La seguridad de una web, por lo tanto, debe ser controlada y revisada periódicamente, puesto que los hackers pueden estar detrás.

Así, algunas empresas facilitan el trabajo de los atacantes informáticos al no prevenirse de ellos. Y muchas veces es por desconocimiento. Según este mismo estudio de San Martino,  muchos responsables de marketing no saben si su web está suficientemente auditada y confían en que su empresa de hosting ya se encargue de eso. Segunda falsa creencia. No suele ser así. Entre otras razones, porque legalmente no está permitido efectuar escaneos de vulnerabilidades o auditorías de seguridad online sin el permiso del dueño. Y además porque se necesitan profundos conocimientos de seguridad tanto para realizar auditorías manuales de seguridad como para interpretar los resultados de escaneos de vulnerabilidades automatizadas y solucionar correctamente las  vulnerabilidades detectadas.

Así pues, Security Guardian ha detectado una situación donde muchos de los propietarios de páginas web pueden tener la creencia equivocada de que la seguridad de su portal estaba incluida por defecto en el hosting o proporcionada por el profesional o empresa que les mantiene su web.

Y si esto no es así, que puede no ser así, la seguridad de la web está seriamente comprometida, con lo que eso puede suponer de pérdidas en reputación y ventas de una empresa.

Porque, y esta es la tercera falsa creencia que puede poner en peligro tu web, no es cierto que los ataques de hackers sean poco frecuentes. Según estudios recientes, cada día se producen 3,4 millones de ataques de malware. Además, los casos de fraudes online y malware aumentaron por encima del 50% en octubre con respecto a la media del año. Así, octubre se convirtió en el peor de los últimos 15 en lo que a fraude online se refiere, y el número de incidentes aumentó un 27% respecto a septiembre.

....


Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

lunes, 12 de noviembre de 2012

¿Cómo de fácil resulta hallar los agujeros de seguridad de las redes sociales?

La semana pasada fue Twitter. Miles de usuarios recibieron un correo electrónico en el que Twitter les obligaba a cambiar la contraseña, lo que hacía presagiar que la red de microblogging había sufrido un ataque hacker masivo. Twitter no ha explicado aun cómo se produjo el ataque pero sí lanzó el viernes un comunicado aclaratorio donde reconocían que se excedieron al mandar los emails y los enviaron a más cuentas de las que en realidad habían sido comprometidas.

Nube de etiquetas



Pero no es el primer problema con los hackers del servicio de microblogging.

En mayo de este año, los nombres de acceso y las contraseñas de 55.000 usuarios de Twitter fueron publicadas en Internet, lo que demostró los importantes agujeros de seguridad de la red. Llovía sobre mojado, un mes antes,  en abril, se había producido una campaña de spam en Twitter mediante la cual se intentaba engañar a los usuarios para que instalaran un falso antivirus Windows. Así, los hackers lograban redireccionar a los usuarios de la red de los 140 caracteres a páginas web maliciosas que explotaban vulnerabilidades en plugins de navegadores para que se instalaran falsos antivirus.

El 21 de septiembre de 2010 ya había habido un ataque masivo a Twitter mediante un gusano llamado Rainboww43 que afectaba a los usuarios con una vulnerabilidad XSS (Cross-Site Scripting) para robar sus cookies. En este caso, los usuarios recibían un mensaje con una cadena extraña y, al pasar por encima con el puntero, era posible redirigir a cualquier persona que visitara el perfil a una página web; algo muy peligroso, puesto que tras el redireccionamiento a otra web ésta podía infectar el ordenador.

Pero los problemas de seguridad no son exclusivos de Twitter. También Linkedin, la mayor red profesional del mundo, sufrió en junio pasado uno de los mayores ataques de seguridad de su historia al robar un hacker 6,5 millones de contraseñas de los perfiles de sus usuarios y publicarlas en un foro de Internet. La compañía inmediatamente reconoció el fallo y aconsejó a los usuarios que cambiaran sus password. Poco después, el mismo pirata informático robó 1,5 millones de passwords de la página web de citas por Internet eHarmony, muy popular en países como Estados Unidos.

Como se ve, ni los gigantes online están libres del peligro. Y si ellos se ven comprometidos, más lo están las webs de las pequeñas empresas, frecuentemente demasiado vulnerables. Por eso es recomendable revisar la seguridad de cada web de forma periódica, constante y metódica. Porque la seguridad no es un estado, es un proceso.


....


Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian


lunes, 5 de noviembre de 2012

¿Quieres evitar el ataque del virus 5N de Anonymous? Así funciona el gusano

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha catalogado el virus Worm.Multi/5N, un troyano que afecta a la plataforma Windows. Se trata de un gusano para la plataforma Windows que el día 5 de noviembre de cualquier año vuelve inmanejable el sistema infectado, mostrando una imagen de la careta de Anonymous e impidiendo al usuario usar su equipo a lo largo de ese día.

El gusano es un "acto reivindicativo" de origen español por el cierre de Megaupload por parte del FBI y  pretende  "paralizar el mundo" hoy 5 de noviembre, según explica un video en Youtube.

El virus en sí es inofensivo ya que no borra ningún fichero ni roba información del equipo infectado, pero los días 5 de noviembre de cada año cambia la imagen de fondo del escritorio por el de una careta de Anonymous y vuelve "materialmente inmanejable" el equipo ya que hace aparecer, de forma continua, botones de apagado de Windows justo donde se encuentra el ratón, de manera que cualquier clic del usuario, apaga el ordenador, alerta el Inteco.

El virus fue creado el pasado mes de abril y desde entonces ha infectado a más de 1.200 equipos en España que previsiblemente deberían mostrar sus efectos este 5 de noviembre.

Pero, ¿quieres saber cómo funciona este virus? Te lo contamos, de la mano de Inteco.

El gusano puede llegar al sistema de múltiples formas: Descargado sin el conocimiento del usuario al visitar una página web maliciosa, descargado de algún programa de compartición de ficheros (P2P) o a través de unidades extraíbles infectadas.

Al ejecutarse, lo primero que hace el programa es comprobar si se está ejecutando en el directorio raíz de una unidad extraíble y si existe una carpeta con el mismo nombre que el archivo ejecutable, en cuyo caso abre una instancia del explorador de Windows con el contenido de dicha carpeta. Con ello el código dañino simula la apertura normal de las carpetas de los dispositivos infectados, pasando así inadvertida la infección del equipo a los ojos del usuario.

Posteriormente comprueba si ya existe otro proceso del propio código dañino ejecutándose en el sistema, en cuyo caso finaliza la ejecución. Para ello consulta los nombres de los procesos en ejecución, y los compara con las cadenas ‘drmvclt’, ‘5N’ y ‘5N.vshost’. Además, en caso de estar ejecutándose desde el directorio/carpeta raíz de una unidad extraíble, los compara también con los nombres de las carpetas existentes en el directorio/carpeta raíz de dicha unidad.

A continuación recopila la información del sistema, almacenándola en un archivo que posteriormente envía mediante FTP al servidor "ftp.drivehq.com", tal y como se explicó anteriormente.

El gusano está en todo momento monitorizando los eventos de conexión/desconexión de dispositivos extraíbles, para proceder o no a la infección del dispositivo extraíble.

El código dañino contiene una serie de temporizadores, componentes que ejecutan una función concreta cada cierto tiempo.

Para prevenir la infección, lo mejor es evitar visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. También es conveniente mantener actualizado el navegador y el sistema operativo con los últimos parches que se hayan publicado. Como es lógico, el ordenador debe tener un antivirus actualizado en sus sistemas.

Anonymous es un seudónimo utilizado mundialmente por diferentes grupos e individuos para —poniéndose o no de acuerdo con otros— realizar en su nombre acciones o publicaciones individuales o concertadas. Anonymous, según explica la Wikipedia,  se manifiesta en acciones de protesta a favor de la libertad de expresión, de la independencia de Internet y en contra de diversas organizaciones, servicios públicos, consorcios con presencia global y sociedades de derechos de autor. La actividad del grupo les ha valido varios arrestos en algunos países, entre ellos España.

Lo cierto es que no todas las amenazas de Anonymous finalmente se han desarrollado, pero dada la naturaleza descentralizada del grupo no se puede descartar que finalmente se lleven acabo las campañas.

....



Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian